1. OWASP France Meeting
11
Septembre
2014
Mozilla
Paris
SonarQube
et
la
Sécurité
Sébas&en
Gioria
Sebas5en.Gioria@owasp.org
Chapter
Leader
&
Evangelist
OWASP
France
2. 2
http://www.google.fr/#q=sebastien gioria
‣ Innovation and Technology @Advens &&
Application Security Expert
‣ OWASP France Leader & Founder &
Evangelist,
‣ OWASP ISO Project & OWASP SonarQube Project
Leader
‣ Application Security group leader for the
CLUSIF
‣ Proud father of youngs kids trying to hack my
digital life.
Twitter :@SPoint/@OWASP_France
2
3. Agenda
• L’analyse
de
code
source
• SonarQube
• Le
projet
OWASP
SonarQube
3
5. L’analyse
de
code
source
• Iden5fier
toutes
les
occurrences
d’une
faille
• Évaluer
des
facteurs
contribuant
à
la
sécurité
• Étudier
l’applica5on
dans
le
détail
• Détecter
les
erreurs
d’implémenta5on
sournoises
6. Analyse
du
code
vs
Test
d’intrusion
applica5f
Top10
Web
Tests
d’intrusion
Analyse
du
code
A1
-‐
Injec5on
++
+++
A2
–
Viola5on
de
Session
/
Authen5fica5on
++
+
A3
–
Cross
Site
Scrip5ng
+++
+++
A4
–
Référence
Directes
+
+++
A5
–
Mauvaise
configura5on
+
++
A6
–
Exposi5on
de
données
++
+
A7
–
Probleme
d’habilita5on
fonc5onnelle
+
+
A8
-‐
CSRF
++
+
A9
–
U5lisa5on
de
Composants
vulnérables
+++
A10
–
Redirec5on
et
transferts
+
+
7. 7
axes
pour
couvrir
la
qualité
d’un
code
Architecture
et
Concep5on
Code
Source
Code
dupliqué
Test
unitaires
Bugs
Complexité
Commentaires
Règle
de
codage
• Bugs
• Non
respect
des
standards
de
codage
• Duplica5on
de
code
• Manque
de
tests
unitaires
• Code
trop
complexe
• Concep5on
spagheg
• Trop
ou
pas
assez
de
code
commenté.
8. SonarQube
• Plateforme
centralisé
de
ges5on
de
la
qualité
:
– Profils
de
qualité
– Intégrable
dans
la
chaine
de
build
– Support
de
nombreux
languages
(C/C++,
java,
php,
javascript,
...)
– Plugins/extensions
disponibles
– Ges5on
de
rapports
et
visualisa5on
de
l’évolu5on
– Existe
en
version
Open-‐Source
10. SonarQube
pour
la
sécurité
applica5ve
• S’intègre
dans
le
SDLC
– liens
possible
avec
Jenkins/Hudson
– Repor5ng
sur
les
viola5ons
– Possibilité
d’ajouter
des
règles
• Dispose
de
règles
permeoant
de
couvrir
– non
respect
des
regles
de
codage
– découverte
de
bugs
sécurité(XSS,
SQl-‐Injec5on)
11. SonarQube
pour
la
sécurité
applica5ve
• Ce
n’est
pas
un
ou5l
de
revue
de
code
!
– Il
fonc5onne
sur
la
viola5on
de
règles;
détec5on
de
paoerns
uniquement
• Il
5re
toute
sa
puissance
– si
vous
disposez
d’une
poli5que
de
Secure
Coding
– si
vous
démarrer
un
nouveau
projet
• Il
n’est
pas
“tres”
orienté
sécurité
actuellement
– peu
de
plugins
de
sécurité
– pas
de
profils
type
pour
les
viola5ons
de
secure
coding.
12. Le
projet
OWASP
SonarQube
• Collabora5on
OWASP
/
SonarSource
– Meore
a
disposi5on
de
la
communauté
un
ensemble
de
règles,
profils,
et
plugins
pour
analyser
la
sécurité
avec
SonarQube.
• Plusieurs
buts
prévus
– Livraison
d’un
profil
OWASP
Top10
supporté
et
maintenu
par
le
projet
début
Octobre
2014
vis
a
vis
du
langage
Java.
– Livraison
d’autres
profils
(probablement
en
2015):
• ASVS
• ISO
27034-‐5
• CERT
Secure
Coding
– Développement
de
plugins
spécifiques
OWASP
• pour
les
autres
langages
13. Prochaines
Dates
• OWASP
AppSecUSA
2014
–
Denver
Colorado
–
16
au
19
Septembre
2014
– hop://2014.appsecusa.org/2014/
• Club
27001
/Paris
-‐
25
Septembre
2014
– Présenta5on
de
la
norme
ISO
27034
• Applica5on
Security
Forum
Western
Switzerland
–
Yverdon
les
Bains
–
4
au
6
Novembre
2014
– hop://www.appsec-‐forum.ch/
• CLUSIR
InfoNord
–
16
Décembre
2014
– Le
paradigme
de
la
sécurité
des
objets
connectés;
Présenta5on
de
l’OWASP
Top10
IoT
• OWASP
AppSec
EU
2015
–
Amsterdam
18
au
21
Mai
2015
13
14. Soutenir
l’OWASP
• Différentes
solu5ons
:
– Membre
Individuel
:
50
$
– Membre
Entreprise
:
5000
$
– Dona5on
Libre
• Soutenir
uniquement
le
chapitre
France
:
– Single
Mee5ng
supporter
• Nous
offrir
une
salle
de
mee5ng
!
• Par5ciper
par
un
talk
ou
autre
!
• Dona5on
simple
– Local
Chapter
supporter
:
• Nous
contacter
14