Analyser le code !
Mise à jour :
Quels outils sont à notre disposition pour contrôler le code ?
Je pense que vous avez déjà parcouru le tableau périodique ↗. Non. Mais comment ça ?
Vu le rythme où des nouveaux outils devOps sortent, difficile de rester à jour. Cette carto va vous permettre d’identifier quels outils peuvent répondre à vos besoins et quels sont les plus facilement intégrable dans vos pipelines. Elle est mise à jour régulièrement et regroupe à ce jour plus d’une centaine d’applications.
Que propose-t-elle pour la sécurité ?
On les retrouve en cliquant sur sécurité, en bleu foncé dans le tableau et peuvent être les regrouper en 3 familles :
- SAST: Static Application Security Testing (Analyse de code statique des applications)
- DAST: Dynamic Application Security Testing (Tests dynamiques de sécurité des applications)
- SCA: Software Composition Analysis (Analyse de composition logicielle)
SAST : Les analyseurs de code statique
L’analyse statique consiste à parcourir le code source pour vérifier s’il respecte un ensemble de règles pour y déceler de potentielles vulnérabilités, bugs, code dupliqué…
Dans cette famille, on retrouve :
Avantages :
- Intervient au début du cycle de développement logiciel
- Réduit les coûts de remédiation
- Supporte de multiples langages
- Facilite la montée en compétences des développeurs sur le développement sécurisé
Inconvénients :
- Ne détecte pas les défauts à l’exécution
- Peux être très long d’exécution
- Génère de nombreux faux positifs
DAST : Les outils de tests dynamiques de sécurité
Ces outils vont permettre de détecter des vulnérabilités et des faiblesses dans la sécurité des applications lors de leur exécution.
Dans cette famille, on retrouve :
Avantages:
- Ne dépends pas de la technologie applicative
- Détecte des vulnérabilités d’exécution et d’environnement
- Permet d’avoir une vision en mode attaquant donc formateur
Inconvénients:
- Nécessite une application déployée
- Intervient en fin de cycle de développement donc les coûts de correction sont plus élevés
SCA : Analyse de composition logicielle
Ces outils permettent de vérifier si les applications n’embarquent pas des composants connus comme vulnérables ou obsolètes.
Avantages :
- Génère une cartographie des librairies utilisées
- Mises à jour régulières des vulnérabilités
Inconvénients :
- Génère des faux positifs