Secure Software Development LifeCycle

Magazine
Marque
MISC
Numéro
109
Mois de parution
mai 2020
Domaines


Résumé

Selon IBM, en 2019 il fallait en moyenne 206 jours pour identifier une brèche de sécurité puis 108 jours pour que la correction soit effective. Quelles sont les mesures à mettre en place pour découvrir les vulnérabilités des applications avant qu’elles ne soient déployées en production ?


Pour éviter l’exploitation d’une vulnérabilité par un individu malveillant, le plus simple est de mettre en production uniquement des applications pour lesquelles la sécurité a été testée et validée. Le 100 % sécurisé n’existant pas, cet article propose un ensemble de mesures et bonnes pratiques permettant de diminuer ce risque de déployer une application vulnérable. Les exemples ci-dessous sont principalement orientés pour une application exposée sur le Web, mais une transposition pour d’autres types d’applications est possible.

1. Software Development LifeCycle (SDLC)

Au cours de la vie d’un produit logiciel, indépendamment du mode de gestion de projet choisi (agile, cycle en V, etc.), plusieurs étapes sont nécessaires, allant de la définition du besoin à la maintenance en phase de production.

1.1 Définition du besoin

Avant le démarrage de la construction, une analyse est effectuée pour déterminer les fonctionnalités, la...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références

[BEEF] BeEF (Browser Exploitation Framework) : https://beefproject.com

[CORNUCOPIA] OWASP Cornucopia : https://owasp.org/www-project-cornucopia

[EBIOS] Methode EBIOS par l’ANSSI : https://www.ssi.gouv.fr/guide/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-securite

[MEHARI] Méthode MEHARI : http://meharipedia.x10host.com/wp

[ASVS] OWASP Application Security Verification Standard : https://owasp.org/www-project-application-security-verification-standard

[DT] OWASP Dependency Track : https://dependencytrack.org

[SNYK] Snyk : https://snyk.io

[GITHUB] About security alerts for vulnerable dependencies : https://help.github.com/en/github/managing-security-vulnerabilities/about-security-alerts-for-vulnerable-dependencies

[FSB] FindSecurityBugs : https://find-sec-bugs.github.io

[BANDIT] Bandit : https://bandit.readthedocs.io/en/latest

[SCS] Security Code Scan : https://security-code-scan.github.io

[PSA] phpcs-security-audit : https://github.com/FloeDesignTechnologies/phpcs-security-audit

[SONAR] SonarQube : https://www.sonarqube.org/

[CHECKMARX] Checkmarx cxSAST : https://www.checkmarx.com/products/static-application-security-testing

[CC] Cucumber : https://cucumber.io

[RF] RobotFramework : https://robotframework.org

[ARACHNI] Arachni Web Application Security Scanner Framework : https://www.arachni-scanner.com

[QUALYS] Qualys Web Application Scanning : https://www.qualys.com/lp/web-app-security

[ZAP] OWASP RAP : https://owasp.org/www-project-zap

[OPENSAMM] OWASP SAMM : https://owaspsamm.org

[BSIMM] Building Security In Maturity Model : https://www.bsimm.com

[SAFECode] Software Assurance Forum for Excellence in Code : https://safecode.org

[OPENRASP] OpenRASP de Baidu : https://github.com/baidu/openrasp

[SQREEN] Sqreen : https://www.sqreen.com



Articles qui pourraient vous intéresser...

Stocker ses secrets dans Git, une mauvaise pratique pouvant avoir de lourdes conséquences

Magazine
Marque
MISC
Numéro
114
Mois de parution
mars 2021
Domaines
Résumé

Dans un rapport datant d’avril 2020, GitLab indique que 18 % des dépôts analysés sur gitlab.com comportaient des problèmes de gestion des secrets. Quelles peuvent être les conséquences liées à ces erreurs ? Quelle stratégie adopter pour gérer au mieux ses secrets ?

Les taxonomies se cachent pour ne pas mourir

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

« Attention, nouveau virus ! » Nombreux sont les articles à nous alerter régulièrement, par cette métonymie, sur l’émergence d’un nouveau malware. Pourtant, le terme de virus a-t-il encore un sens aujourd’hui ? Wannacry était-il un ver, ou un ransomware ? NotPetya, un wiper, ou bien un ver ? Et plus encore, au-delà de l’utilisation de termes et expressions se pose la question de la nécessaire catégorisation des incidents de cybersécurité ; pourquoi, comment, à quelles fins ? Essai (critique) de réponse.

Surveillance des accès de production en télétravail

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Il est courant de protéger l'accès aux infrastructures de production au travers de VPN ou de bastions SSH, et beaucoup d’organisations limitent encore ces points d'entrée à leur infrastructure interne. Lorsque l'organisation passe en mode télétravail à 100%, il faut forcément permettre l'accès depuis des adresses IP arbitraires, et se pose alors la question de surveiller ces accès pour détecter et bloquer rapidement une tentative d'accès malveillante.