SonarQube et la Sécurité

1 792 vues

Publié le

SlideDeck on SonarQube and security at OWASP France Meeting

Publié dans : Internet
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 792
Sur SlideShare
0
Issues des intégrations
0
Intégrations
456
Actions
Partages
0
Téléchargements
20
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

SonarQube et la Sécurité

  1. 1. OWASP France Meeting 11 Septembre 2014 Mozilla Paris SonarQube et la Sécurité Sébas&en Gioria Sebas5en.Gioria@owasp.org Chapter Leader & Evangelist OWASP France
  2. 2. 2 http://www.google.fr/#q=sebastien gioria ‣ Innovation and Technology @Advens && Application Security Expert ‣ OWASP France Leader & Founder & Evangelist, ‣ OWASP ISO Project & OWASP SonarQube Project Leader ‣ Application Security group leader for the CLUSIF ‣ Proud father of youngs kids trying to hack my digital life. Twitter :@SPoint/@OWASP_France 2
  3. 3. Agenda • L’analyse de code source • SonarQube • Le projet OWASP SonarQube 3
  4. 4. L’analyse de code source résumée
  5. 5. L’analyse de code source • Iden5fier toutes les occurrences d’une faille • Évaluer des facteurs contribuant à la sécurité • Étudier l’applica5on dans le détail • Détecter les erreurs d’implémenta5on sournoises
  6. 6. Analyse du code vs Test d’intrusion applica5f Top10 Web Tests d’intrusion Analyse du code A1 -­‐ Injec5on ++ +++ A2 – Viola5on de Session / Authen5fica5on ++ + A3 – Cross Site Scrip5ng +++ +++ A4 – Référence Directes + +++ A5 – Mauvaise configura5on + ++ A6 – Exposi5on de données ++ + A7 – Probleme d’habilita5on fonc5onnelle + + A8 -­‐ CSRF ++ + A9 – U5lisa5on de Composants vulnérables +++ A10 – Redirec5on et transferts + +
  7. 7. 7 axes pour couvrir la qualité d’un code Architecture et Concep5on Code Source Code dupliqué Test unitaires Bugs Complexité Commentaires Règle de codage • Bugs • Non respect des standards de codage • Duplica5on de code • Manque de tests unitaires • Code trop complexe • Concep5on spagheg • Trop ou pas assez de code commenté.
  8. 8. SonarQube • Plateforme centralisé de ges5on de la qualité : – Profils de qualité – Intégrable dans la chaine de build – Support de nombreux languages (C/C++, java, php, javascript, ...) – Plugins/extensions disponibles – Ges5on de rapports et visualisa5on de l’évolu5on – Existe en version Open-­‐Source
  9. 9. Démo
  10. 10. SonarQube pour la sécurité applica5ve • S’intègre dans le SDLC – liens possible avec Jenkins/Hudson – Repor5ng sur les viola5ons – Possibilité d’ajouter des règles • Dispose de règles permeoant de couvrir – non respect des regles de codage – découverte de bugs sécurité(XSS, SQl-­‐Injec5on)
  11. 11. SonarQube pour la sécurité applica5ve • Ce n’est pas un ou5l de revue de code ! – Il fonc5onne sur la viola5on de règles; détec5on de paoerns uniquement • Il 5re toute sa puissance – si vous disposez d’une poli5que de Secure Coding – si vous démarrer un nouveau projet • Il n’est pas “tres” orienté sécurité actuellement – peu de plugins de sécurité – pas de profils type pour les viola5ons de secure coding.
  12. 12. Le projet OWASP SonarQube • Collabora5on OWASP / SonarSource – Meore a disposi5on de la communauté un ensemble de règles, profils, et plugins pour analyser la sécurité avec SonarQube. • Plusieurs buts prévus – Livraison d’un profil OWASP Top10 supporté et maintenu par le projet début Octobre 2014 vis a vis du langage Java. – Livraison d’autres profils (probablement en 2015): • ASVS • ISO 27034-­‐5 • CERT Secure Coding – Développement de plugins spécifiques OWASP • pour les autres langages
  13. 13. Prochaines Dates • OWASP AppSecUSA 2014 – Denver Colorado – 16 au 19 Septembre 2014 – hop://2014.appsecusa.org/2014/ • Club 27001 /Paris -­‐ 25 Septembre 2014 – Présenta5on de la norme ISO 27034 • Applica5on Security Forum Western Switzerland – Yverdon les Bains – 4 au 6 Novembre 2014 – hop://www.appsec-­‐forum.ch/ • CLUSIR InfoNord – 16 Décembre 2014 – Le paradigme de la sécurité des objets connectés; Présenta5on de l’OWASP Top10 IoT • OWASP AppSec EU 2015 – Amsterdam 18 au 21 Mai 2015 13
  14. 14. Soutenir l’OWASP • Différentes solu5ons : – Membre Individuel : 50 $ – Membre Entreprise : 5000 $ – Dona5on Libre • Soutenir uniquement le chapitre France : – Single Mee5ng supporter • Nous offrir une salle de mee5ng ! • Par5ciper par un talk ou autre ! • Dona5on simple – Local Chapter supporter : • Nous contacter 14
  15. 15. License 15 @SPoint sebas5en.gioria@owasp.org

×