Sommaire

Outils indispensables de la sécurité web

1. Analyse de code

Un des outils indispensables dans la sécurité des applications web est l’analyse de code statique dont nous avons rapidement introduit le sujet dans le chapitre Panorama de la sécurité web - Les technologies liées à la sécurité web. D’après Microsoft, le fait de trouver une vulnérabilité dans le code coûterait cent fois moins cher que lors d’un test de pénétration. Lors des phases de contrôle (check) dans un cycle de développement, une revue de code est essentielle pour développer de manière sécurisée, mais une revue dynamique est peu probable car trop coûteuse. Pour pallier ces problèmes, les outils d’analyse de code statique (SAST) peuvent s’avérer très utiles. Des outils comme Checkmarx  SAST, Veracode Static Analysis, FXCop, etc. sont utilisés à travers des solutions cloud ou gérés à partir du module Jenkins pour l’automatisation dans un cycle de développement. Tout l’intérêt et la force de ces outils résident dans la recherche de vulnérabilités par le code mais aussi dans la possibilité d’intégrer l’outil facilement dans la chaîne de développement afin de ne pas perdre de temps pour la mise en production. En effet, la plupart des entreprises qui développent ...