SlideShare une entreprise Scribd logo
OWASP France Meeting 
11 
Septembre 
2014 
Mozilla 
Paris 
SonarQube 
et 
la 
Sécurité 
Sébas&en 
Gioria 
Sebas5en.Gioria@owasp.org 
Chapter 
Leader 
& 
Evangelist 
OWASP 
France
2 
http://www.google.fr/#q=sebastien gioria 
‣ Innovation and Technology @Advens && 
Application Security Expert 
‣ OWASP France Leader & Founder & 
Evangelist, 
‣ OWASP ISO Project & OWASP SonarQube Project 
Leader 
‣ Application Security group leader for the 
CLUSIF 
‣ Proud father of youngs kids trying to hack my 
digital life. 
Twitter :@SPoint/@OWASP_France 
2
Agenda 
• L’analyse 
de 
code 
source 
• SonarQube 
• Le 
projet 
OWASP 
SonarQube 
3
L’analyse 
de 
code 
source 
résumée
L’analyse 
de 
code 
source 
• Iden5fier 
toutes 
les 
occurrences 
d’une 
faille 
• Évaluer 
des 
facteurs 
contribuant 
à 
la 
sécurité 
• Étudier 
l’applica5on 
dans 
le 
détail 
• Détecter 
les 
erreurs 
d’implémenta5on 
sournoises
Analyse 
du 
code 
vs 
Test 
d’intrusion 
applica5f 
Top10 
Web 
Tests 
d’intrusion 
Analyse 
du 
code 
A1 
-­‐ 
Injec5on 
++ 
+++ 
A2 
– 
Viola5on 
de 
Session 
/ 
Authen5fica5on 
++ 
+ 
A3 
– 
Cross 
Site 
Scrip5ng 
+++ 
+++ 
A4 
– 
Référence 
Directes 
+ 
+++ 
A5 
– 
Mauvaise 
configura5on 
+ 
++ 
A6 
– 
Exposi5on 
de 
données 
++ 
+ 
A7 
– 
Probleme 
d’habilita5on 
fonc5onnelle 
+ 
+ 
A8 
-­‐ 
CSRF 
++ 
+ 
A9 
– 
U5lisa5on 
de 
Composants 
vulnérables 
+++ 
A10 
– 
Redirec5on 
et 
transferts 
+ 
+
7 
axes 
pour 
couvrir 
la 
qualité 
d’un 
code 
Architecture 
et 
Concep5on 
Code 
Source 
Code 
dupliqué 
Test 
unitaires 
Bugs 
Complexité 
Commentaires 
Règle 
de 
codage 
• Bugs 
• Non 
respect 
des 
standards 
de 
codage 
• Duplica5on 
de 
code 
• Manque 
de 
tests 
unitaires 
• Code 
trop 
complexe 
• Concep5on 
spagheg 
• Trop 
ou 
pas 
assez 
de 
code 
commenté.
SonarQube 
• Plateforme 
centralisé 
de 
ges5on 
de 
la 
qualité 
: 
– Profils 
de 
qualité 
– Intégrable 
dans 
la 
chaine 
de 
build 
– Support 
de 
nombreux 
languages 
(C/C++, 
java, 
php, 
javascript, 
...) 
– Plugins/extensions 
disponibles 
– Ges5on 
de 
rapports 
et 
visualisa5on 
de 
l’évolu5on 
– Existe 
en 
version 
Open-­‐Source
Démo
SonarQube 
pour 
la 
sécurité 
applica5ve 
• S’intègre 
dans 
le 
SDLC 
– liens 
possible 
avec 
Jenkins/Hudson 
– Repor5ng 
sur 
les 
viola5ons 
– Possibilité 
d’ajouter 
des 
règles 
• Dispose 
de 
règles 
permeoant 
de 
couvrir 
– non 
respect 
des 
regles 
de 
codage 
– découverte 
de 
bugs 
sécurité(XSS, 
SQl-­‐Injec5on)
SonarQube 
pour 
la 
sécurité 
applica5ve 
• Ce 
n’est 
pas 
un 
ou5l 
de 
revue 
de 
code 
! 
– Il 
fonc5onne 
sur 
la 
viola5on 
de 
règles; 
détec5on 
de 
paoerns 
uniquement 
• Il 
5re 
toute 
sa 
puissance 
– si 
vous 
disposez 
d’une 
poli5que 
de 
Secure 
Coding 
– si 
vous 
démarrer 
un 
nouveau 
projet 
• Il 
n’est 
pas 
“tres” 
orienté 
sécurité 
actuellement 
– peu 
de 
plugins 
de 
sécurité 
– pas 
de 
profils 
type 
pour 
les 
viola5ons 
de 
secure 
coding.
Le 
projet 
OWASP 
SonarQube 
• Collabora5on 
OWASP 
/ 
SonarSource 
– Meore 
a 
disposi5on 
de 
la 
communauté 
un 
ensemble 
de 
règles, 
profils, 
et 
plugins 
pour 
analyser 
la 
sécurité 
avec 
SonarQube. 
• Plusieurs 
buts 
prévus 
– Livraison 
d’un 
profil 
OWASP 
Top10 
supporté 
et 
maintenu 
par 
le 
projet 
début 
Octobre 
2014 
vis 
a 
vis 
du 
langage 
Java. 
– Livraison 
d’autres 
profils 
(probablement 
en 
2015): 
• ASVS 
• ISO 
27034-­‐5 
• CERT 
Secure 
Coding 
– Développement 
de 
plugins 
spécifiques 
OWASP 
• pour 
les 
autres 
langages
Prochaines 
Dates 
• OWASP 
AppSecUSA 
2014 
– 
Denver 
Colorado 
– 
16 
au 
19 
Septembre 
2014 
– hop://2014.appsecusa.org/2014/ 
• Club 
27001 
/Paris 
-­‐ 
25 
Septembre 
2014 
– Présenta5on 
de 
la 
norme 
ISO 
27034 
• Applica5on 
Security 
Forum 
Western 
Switzerland 
– 
Yverdon 
les 
Bains 
– 
4 
au 
6 
Novembre 
2014 
– hop://www.appsec-­‐forum.ch/ 
• CLUSIR 
InfoNord 
– 
16 
Décembre 
2014 
– Le 
paradigme 
de 
la 
sécurité 
des 
objets 
connectés; 
Présenta5on 
de 
l’OWASP 
Top10 
IoT 
• OWASP 
AppSec 
EU 
2015 
– 
Amsterdam 
18 
au 
21 
Mai 
2015 
13
Soutenir 
l’OWASP 
• Différentes 
solu5ons 
: 
– Membre 
Individuel 
: 
50 
$ 
– Membre 
Entreprise 
: 
5000 
$ 
– Dona5on 
Libre 
• Soutenir 
uniquement 
le 
chapitre 
France 
: 
– Single 
Mee5ng 
supporter 
• Nous 
offrir 
une 
salle 
de 
mee5ng 
! 
• Par5ciper 
par 
un 
talk 
ou 
autre 
! 
• Dona5on 
simple 
– Local 
Chapter 
supporter 
: 
• Nous 
contacter 
14
License 
15 
@SPoint 
sebas5en.gioria@owasp.org

Contenu connexe

Tendances

Sonarqube
SonarqubeSonarqube
Sonarqube
Kalkey
 
SRE-iously! Reliability!
SRE-iously! Reliability!SRE-iously! Reliability!
SRE-iously! Reliability!
New Relic
 
Containers Docker Kind Kubernetes Istio
Containers Docker Kind Kubernetes IstioContainers Docker Kind Kubernetes Istio
Containers Docker Kind Kubernetes Istio
Araf Karsh Hamid
 
Java Source Code Analysis using SonarQube
Java Source Code Analysis using SonarQubeJava Source Code Analysis using SonarQube
Java Source Code Analysis using SonarQube
Angelin R
 
Site reliability engineering - Lightning Talk
Site reliability engineering - Lightning TalkSite reliability engineering - Lightning Talk
Site reliability engineering - Lightning Talk
Michae Blakeney
 
Tech Talk #5 : Code Analysis SonarQube - Lương Trọng Nghĩa
Tech Talk #5 : Code Analysis SonarQube - Lương Trọng NghĩaTech Talk #5 : Code Analysis SonarQube - Lương Trọng Nghĩa
Tech Talk #5 : Code Analysis SonarQube - Lương Trọng Nghĩa
Nexus FrontierTech
 
Dev ops using Jenkins
Dev ops using JenkinsDev ops using Jenkins
Security DevOps - Staying secure in agile projects // OWASP AppSecEU 2015 - A...
Security DevOps - Staying secure in agile projects // OWASP AppSecEU 2015 - A...Security DevOps - Staying secure in agile projects // OWASP AppSecEU 2015 - A...
Security DevOps - Staying secure in agile projects // OWASP AppSecEU 2015 - A...
Christian Schneider
 
SCS DevSecOps Seminar - State of DevSecOps
SCS DevSecOps Seminar - State of DevSecOpsSCS DevSecOps Seminar - State of DevSecOps
SCS DevSecOps Seminar - State of DevSecOps
Stefan Streichsbier
 
Checkmarx meetup API Security - API Security top 10 - Erez Yalon
Checkmarx meetup API Security -  API Security top 10 - Erez YalonCheckmarx meetup API Security -  API Security top 10 - Erez Yalon
Checkmarx meetup API Security - API Security top 10 - Erez Yalon
Adar Weidman
 
Scrum Overview
Scrum OverviewScrum Overview
Scrum Overview
Marko Gargenta
 
Implementing SRE practices: SLI/SLO deep dive - David Blank-Edelman - DevOpsD...
Implementing SRE practices: SLI/SLO deep dive - David Blank-Edelman - DevOpsD...Implementing SRE practices: SLI/SLO deep dive - David Blank-Edelman - DevOpsD...
Implementing SRE practices: SLI/SLO deep dive - David Blank-Edelman - DevOpsD...
DevOpsDays Tel Aviv
 
Agile Software Development
Agile Software DevelopmentAgile Software Development
Agile Software Development
Sachith Perera
 
How to implement DevOps in your Organization
How to implement DevOps in your OrganizationHow to implement DevOps in your Organization
How to implement DevOps in your Organization
Dalibor Blazevic
 
Site Reliability Engineering (SRE) - Tech Talk by Keet Sugathadasa
Site Reliability Engineering (SRE) - Tech Talk by Keet SugathadasaSite Reliability Engineering (SRE) - Tech Talk by Keet Sugathadasa
Site Reliability Engineering (SRE) - Tech Talk by Keet Sugathadasa
Keet Sugathadasa
 
The story of SonarQube told to a DevOps Engineer
The story of SonarQube told to a DevOps EngineerThe story of SonarQube told to a DevOps Engineer
The story of SonarQube told to a DevOps Engineer
Manu Pk
 
SonarQube: Continuous Code Inspection
SonarQube: Continuous Code InspectionSonarQube: Continuous Code Inspection
SonarQube: Continuous Code Inspection
Michael Jesse
 
Software Testing - Heuristics Cheat Sheet
Software Testing - Heuristics Cheat SheetSoftware Testing - Heuristics Cheat Sheet
Software Testing - Heuristics Cheat Sheet
Santhosh Tuppad
 
Introduction à DevOps
Introduction à DevOpsIntroduction à DevOps
Introduction à DevOps
Microsoft
 
DevOps Torino Meetup - SRE Concepts
DevOps Torino Meetup - SRE ConceptsDevOps Torino Meetup - SRE Concepts
DevOps Torino Meetup - SRE Concepts
Rauno De Pasquale
 

Tendances (20)

Sonarqube
SonarqubeSonarqube
Sonarqube
 
SRE-iously! Reliability!
SRE-iously! Reliability!SRE-iously! Reliability!
SRE-iously! Reliability!
 
Containers Docker Kind Kubernetes Istio
Containers Docker Kind Kubernetes IstioContainers Docker Kind Kubernetes Istio
Containers Docker Kind Kubernetes Istio
 
Java Source Code Analysis using SonarQube
Java Source Code Analysis using SonarQubeJava Source Code Analysis using SonarQube
Java Source Code Analysis using SonarQube
 
Site reliability engineering - Lightning Talk
Site reliability engineering - Lightning TalkSite reliability engineering - Lightning Talk
Site reliability engineering - Lightning Talk
 
Tech Talk #5 : Code Analysis SonarQube - Lương Trọng Nghĩa
Tech Talk #5 : Code Analysis SonarQube - Lương Trọng NghĩaTech Talk #5 : Code Analysis SonarQube - Lương Trọng Nghĩa
Tech Talk #5 : Code Analysis SonarQube - Lương Trọng Nghĩa
 
Dev ops using Jenkins
Dev ops using JenkinsDev ops using Jenkins
Dev ops using Jenkins
 
Security DevOps - Staying secure in agile projects // OWASP AppSecEU 2015 - A...
Security DevOps - Staying secure in agile projects // OWASP AppSecEU 2015 - A...Security DevOps - Staying secure in agile projects // OWASP AppSecEU 2015 - A...
Security DevOps - Staying secure in agile projects // OWASP AppSecEU 2015 - A...
 
SCS DevSecOps Seminar - State of DevSecOps
SCS DevSecOps Seminar - State of DevSecOpsSCS DevSecOps Seminar - State of DevSecOps
SCS DevSecOps Seminar - State of DevSecOps
 
Checkmarx meetup API Security - API Security top 10 - Erez Yalon
Checkmarx meetup API Security -  API Security top 10 - Erez YalonCheckmarx meetup API Security -  API Security top 10 - Erez Yalon
Checkmarx meetup API Security - API Security top 10 - Erez Yalon
 
Scrum Overview
Scrum OverviewScrum Overview
Scrum Overview
 
Implementing SRE practices: SLI/SLO deep dive - David Blank-Edelman - DevOpsD...
Implementing SRE practices: SLI/SLO deep dive - David Blank-Edelman - DevOpsD...Implementing SRE practices: SLI/SLO deep dive - David Blank-Edelman - DevOpsD...
Implementing SRE practices: SLI/SLO deep dive - David Blank-Edelman - DevOpsD...
 
Agile Software Development
Agile Software DevelopmentAgile Software Development
Agile Software Development
 
How to implement DevOps in your Organization
How to implement DevOps in your OrganizationHow to implement DevOps in your Organization
How to implement DevOps in your Organization
 
Site Reliability Engineering (SRE) - Tech Talk by Keet Sugathadasa
Site Reliability Engineering (SRE) - Tech Talk by Keet SugathadasaSite Reliability Engineering (SRE) - Tech Talk by Keet Sugathadasa
Site Reliability Engineering (SRE) - Tech Talk by Keet Sugathadasa
 
The story of SonarQube told to a DevOps Engineer
The story of SonarQube told to a DevOps EngineerThe story of SonarQube told to a DevOps Engineer
The story of SonarQube told to a DevOps Engineer
 
SonarQube: Continuous Code Inspection
SonarQube: Continuous Code InspectionSonarQube: Continuous Code Inspection
SonarQube: Continuous Code Inspection
 
Software Testing - Heuristics Cheat Sheet
Software Testing - Heuristics Cheat SheetSoftware Testing - Heuristics Cheat Sheet
Software Testing - Heuristics Cheat Sheet
 
Introduction à DevOps
Introduction à DevOpsIntroduction à DevOps
Introduction à DevOps
 
DevOps Torino Meetup - SRE Concepts
DevOps Torino Meetup - SRE ConceptsDevOps Torino Meetup - SRE Concepts
DevOps Torino Meetup - SRE Concepts
 

En vedette

Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
Sébastien GIORIA
 
The Quamoco Quality Modelling and Assessment Approach
The Quamoco Quality Modelling and Assessment ApproachThe Quamoco Quality Modelling and Assessment Approach
The Quamoco Quality Modelling and Assessment Approach
Stefan Wagner
 
Software and product quality for videogames
Software and product quality for videogamesSoftware and product quality for videogames
Software and product quality for videogames
Antonio García-Domínguez
 
Educational lifecycle process assessment
Educational lifecycle process assessmentEducational lifecycle process assessment
Educational lifecycle process assessment
Stéphane Jacquemart
 
03 club qualimetrie_presentation_s_qua_re
03 club qualimetrie_presentation_s_qua_re03 club qualimetrie_presentation_s_qua_re
03 club qualimetrie_presentation_s_qua_re
Capgemini
 
Quesionnaire
QuesionnaireQuesionnaire
Quesionnaire
ASAP
 
Quality Models for Web Sites
Quality Models for Web SitesQuality Models for Web Sites
Quality Models for Web Sites
Roberto Polillo
 
Evaluacion del software educativo
Evaluacion del software educativoEvaluacion del software educativo
Evaluacion del software educativo
leonor trujillo
 
Analisis iso 25010
Analisis iso 25010Analisis iso 25010
Analisis iso 25010
Evelyna Saquisili
 
Evaluating and Improving Software Usability
Evaluating and Improving Software UsabilityEvaluating and Improving Software Usability
Evaluating and Improving Software Usability
XBOSoft
 
Iwsm2014 performance measurement for cloud computing applications using iso...
Iwsm2014   performance measurement for cloud computing applications using iso...Iwsm2014   performance measurement for cloud computing applications using iso...
Iwsm2014 performance measurement for cloud computing applications using iso...
Nesma
 
Managing Security in External Software Dependencies
Managing Security in External Software DependenciesManaging Security in External Software Dependencies
Managing Security in External Software Dependencies
thariyarox
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
Cyber Security Alliance
 
Owasp A9 USING KNOWN VULNERABLE COMPONENTS IT 6873 presentation
Owasp A9 USING KNOWN VULNERABLE COMPONENTS   IT 6873 presentationOwasp A9 USING KNOWN VULNERABLE COMPONENTS   IT 6873 presentation
Owasp A9 USING KNOWN VULNERABLE COMPONENTS IT 6873 presentation
Derrick Hunter
 
27 jan 2012[1]
27 jan 2012[1]27 jan 2012[1]
27 jan 2012[1]
Biblioteca Escolar Aeob
 
Continuous Security - TCCC
Continuous Security - TCCCContinuous Security - TCCC
Continuous Security - TCCC
Wendy Istvanick
 
Software quality requirements and evaluation
Software quality requirements and evaluationSoftware quality requirements and evaluation
Software quality requirements and evaluation
Eric Lai
 
Quality characteristics
Quality characteristicsQuality characteristics
Quality characteristics
Sigma Software
 
Guide25 vs ISO/IEC17025
Guide25 vs ISO/IEC17025Guide25 vs ISO/IEC17025
Guide25 vs ISO/IEC17025
SEREE NET
 
Dependency check
Dependency checkDependency check
Dependency check
David Karlsen
 

En vedette (20)

Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
The Quamoco Quality Modelling and Assessment Approach
The Quamoco Quality Modelling and Assessment ApproachThe Quamoco Quality Modelling and Assessment Approach
The Quamoco Quality Modelling and Assessment Approach
 
Software and product quality for videogames
Software and product quality for videogamesSoftware and product quality for videogames
Software and product quality for videogames
 
Educational lifecycle process assessment
Educational lifecycle process assessmentEducational lifecycle process assessment
Educational lifecycle process assessment
 
03 club qualimetrie_presentation_s_qua_re
03 club qualimetrie_presentation_s_qua_re03 club qualimetrie_presentation_s_qua_re
03 club qualimetrie_presentation_s_qua_re
 
Quesionnaire
QuesionnaireQuesionnaire
Quesionnaire
 
Quality Models for Web Sites
Quality Models for Web SitesQuality Models for Web Sites
Quality Models for Web Sites
 
Evaluacion del software educativo
Evaluacion del software educativoEvaluacion del software educativo
Evaluacion del software educativo
 
Analisis iso 25010
Analisis iso 25010Analisis iso 25010
Analisis iso 25010
 
Evaluating and Improving Software Usability
Evaluating and Improving Software UsabilityEvaluating and Improving Software Usability
Evaluating and Improving Software Usability
 
Iwsm2014 performance measurement for cloud computing applications using iso...
Iwsm2014   performance measurement for cloud computing applications using iso...Iwsm2014   performance measurement for cloud computing applications using iso...
Iwsm2014 performance measurement for cloud computing applications using iso...
 
Managing Security in External Software Dependencies
Managing Security in External Software DependenciesManaging Security in External Software Dependencies
Managing Security in External Software Dependencies
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
 
Owasp A9 USING KNOWN VULNERABLE COMPONENTS IT 6873 presentation
Owasp A9 USING KNOWN VULNERABLE COMPONENTS   IT 6873 presentationOwasp A9 USING KNOWN VULNERABLE COMPONENTS   IT 6873 presentation
Owasp A9 USING KNOWN VULNERABLE COMPONENTS IT 6873 presentation
 
27 jan 2012[1]
27 jan 2012[1]27 jan 2012[1]
27 jan 2012[1]
 
Continuous Security - TCCC
Continuous Security - TCCCContinuous Security - TCCC
Continuous Security - TCCC
 
Software quality requirements and evaluation
Software quality requirements and evaluationSoftware quality requirements and evaluation
Software quality requirements and evaluation
 
Quality characteristics
Quality characteristicsQuality characteristics
Quality characteristics
 
Guide25 vs ISO/IEC17025
Guide25 vs ISO/IEC17025Guide25 vs ISO/IEC17025
Guide25 vs ISO/IEC17025
 
Dependency check
Dependency checkDependency check
Dependency check
 

Similaire à SonarQube et la Sécurité

La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015
Sebastien Gioria
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
Sebastien Gioria
 
Owasp geneva-201102-trouvez vosbugslepremier
Owasp geneva-201102-trouvez vosbugslepremierOwasp geneva-201102-trouvez vosbugslepremier
Owasp geneva-201102-trouvez vosbugslepremier
Thomas Hofer
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
Sébastien GIORIA
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
yaboukir
 
Les tests de securite devops
Les tests de securite devopsLes tests de securite devops
Les tests de securite devops
Christophe Villeneuve
 
CV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel FrCV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel Fr
Saddam ZEMMALI ☁
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
Nicolas Lourenço
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
Antonio Fontes
 
Déploiement PHP : de l'âge de pierre à nos jours.
Déploiement PHP : de l'âge de pierre à nos jours.Déploiement PHP : de l'âge de pierre à nos jours.
Déploiement PHP : de l'âge de pierre à nos jours.
Amélie DUVERNET
 
Les tests de sécurité
Les tests de sécuritéLes tests de sécurité
Les tests de sécurité
Christophe Villeneuve
 
Sécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceSécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open Source
Certilience
 
2009-09-15 Squale au Paris JUG
2009-09-15 Squale au Paris JUG2009-09-15 Squale au Paris JUG
2009-09-15 Squale au Paris JUG
Fabrice Bellingard
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8
Sébastien GIORIA
 
Jenkins - Les jeudis de la découverte
Jenkins - Les jeudis de la découverteJenkins - Les jeudis de la découverte
Jenkins - Les jeudis de la découverte
Stephane Couzinier
 
qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel -  Entreprise Software Analytic - nov 2015qualimétrie logiciel -  Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015
Julien Vq
 
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
Publicis Sapient Engineering
 
La Maîtrise de Java au sein du SI
La Maîtrise de Java au sein du SILa Maîtrise de Java au sein du SI
La Maîtrise de Java au sein du SI
cpruvost
 

Similaire à SonarQube et la Sécurité (20)

La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015La Quete du code source fiable et sécurisé - GSDAYS 2015
La Quete du code source fiable et sécurisé - GSDAYS 2015
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
 
Owasp geneva-201102-trouvez vosbugslepremier
Owasp geneva-201102-trouvez vosbugslepremierOwasp geneva-201102-trouvez vosbugslepremier
Owasp geneva-201102-trouvez vosbugslepremier
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
 
Les 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASPLes 5 risques les plus critiques des applications Web selon l'OWASP
Les 5 risques les plus critiques des applications Web selon l'OWASP
 
Les tests de securite devops
Les tests de securite devopsLes tests de securite devops
Les tests de securite devops
 
CV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel FrCV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel Fr
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Déploiement PHP : de l'âge de pierre à nos jours.
Déploiement PHP : de l'âge de pierre à nos jours.Déploiement PHP : de l'âge de pierre à nos jours.
Déploiement PHP : de l'âge de pierre à nos jours.
 
SophiaConf SecludIT
SophiaConf SecludITSophiaConf SecludIT
SophiaConf SecludIT
 
Les tests de sécurité
Les tests de sécuritéLes tests de sécurité
Les tests de sécurité
 
Sécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open SourceSécurisez-vous avec des solutions Open Source
Sécurisez-vous avec des solutions Open Source
 
2009-09-15 Squale au Paris JUG
2009-09-15 Squale au Paris JUG2009-09-15 Squale au Paris JUG
2009-09-15 Squale au Paris JUG
 
2010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.82010 03-10-web applications firewalls v 0.8
2010 03-10-web applications firewalls v 0.8
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
Jenkins - Les jeudis de la découverte
Jenkins - Les jeudis de la découverteJenkins - Les jeudis de la découverte
Jenkins - Les jeudis de la découverte
 
qualimétrie logiciel - Entreprise Software Analytic - nov 2015
qualimétrie logiciel -  Entreprise Software Analytic - nov 2015qualimétrie logiciel -  Entreprise Software Analytic - nov 2015
qualimétrie logiciel - Entreprise Software Analytic - nov 2015
 
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
 
La Maîtrise de Java au sein du SI
La Maîtrise de Java au sein du SILa Maîtrise de Java au sein du SI
La Maîtrise de Java au sein du SI
 

Plus de Sébastien GIORIA

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
Sébastien GIORIA
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
Sébastien GIORIA
 
Owasp top 10 2010 Resist toulouse
Owasp top 10   2010  Resist toulouseOwasp top 10   2010  Resist toulouse
Owasp top 10 2010 Resist toulouse
Sébastien GIORIA
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
Sébastien GIORIA
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
Sébastien GIORIA
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
Sébastien GIORIA
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
Sébastien GIORIA
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
Sébastien GIORIA
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
Sébastien GIORIA
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
Sébastien GIORIA
 
2013 02-27-owasp top10 javascript
 2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
Sébastien GIORIA
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
Sébastien GIORIA
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01
Sébastien GIORIA
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
Sébastien GIORIA
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
Sébastien GIORIA
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
Sébastien GIORIA
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
Sébastien GIORIA
 

Plus de Sébastien GIORIA (20)

OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
OWASP Top10 IoT - CLUSIR Infornord Décembre 2014
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
2014 09-04-pj
2014 09-04-pj2014 09-04-pj
2014 09-04-pj
 
Owasp top 10 2010 Resist toulouse
Owasp top 10   2010  Resist toulouseOwasp top 10   2010  Resist toulouse
Owasp top 10 2010 Resist toulouse
 
Présentation Top10 CEGID Lyon
Présentation Top10 CEGID LyonPrésentation Top10 CEGID Lyon
Présentation Top10 CEGID Lyon
 
Présentation au CRI-Ouest
Présentation au CRI-OuestPrésentation au CRI-Ouest
Présentation au CRI-Ouest
 
2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch2013 06-27-securecoding-en - jug pch
2013 06-27-securecoding-en - jug pch
 
OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013OWASP Top10 2013 - Présentation aux RSSIA 2013
OWASP Top10 2013 - Présentation aux RSSIA 2013
 
OWASP, the life and the universe
OWASP, the life and the universeOWASP, the life and the universe
OWASP, the life and the universe
 
2013 04-04-html5-security-v2
2013 04-04-html5-security-v22013 04-04-html5-security-v2
2013 04-04-html5-security-v2
 
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
2013 02-12-owasp top10 mobile - attaques et solutions sur windows phone (sec309)
 
2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité2013 03-01 automatiser les tests sécurité
2013 03-01 automatiser les tests sécurité
 
2013 02-27-owasp top10 javascript
 2013 02-27-owasp top10 javascript 2013 02-27-owasp top10 javascript
2013 02-27-owasp top10 javascript
 
Secure Coding for Java
Secure Coding for JavaSecure Coding for Java
Secure Coding for Java
 
2012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v012012 11-07-owasp mobile top10 v01
2012 11-07-owasp mobile top10 v01
 
2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite
 
2012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v032012 03-02-sdl-sgi-v03
2012 03-02-sdl-sgi-v03
 
2012 03-01-ror security v01
2012 03-01-ror security v012012 03-01-ror security v01
2012 03-01-ror security v01
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
2011 02-07-html5-security-v1
2011 02-07-html5-security-v12011 02-07-html5-security-v1
2011 02-07-html5-security-v1
 

SonarQube et la Sécurité

  • 1. OWASP France Meeting 11 Septembre 2014 Mozilla Paris SonarQube et la Sécurité Sébas&en Gioria Sebas5en.Gioria@owasp.org Chapter Leader & Evangelist OWASP France
  • 2. 2 http://www.google.fr/#q=sebastien gioria ‣ Innovation and Technology @Advens && Application Security Expert ‣ OWASP France Leader & Founder & Evangelist, ‣ OWASP ISO Project & OWASP SonarQube Project Leader ‣ Application Security group leader for the CLUSIF ‣ Proud father of youngs kids trying to hack my digital life. Twitter :@SPoint/@OWASP_France 2
  • 3. Agenda • L’analyse de code source • SonarQube • Le projet OWASP SonarQube 3
  • 4. L’analyse de code source résumée
  • 5. L’analyse de code source • Iden5fier toutes les occurrences d’une faille • Évaluer des facteurs contribuant à la sécurité • Étudier l’applica5on dans le détail • Détecter les erreurs d’implémenta5on sournoises
  • 6. Analyse du code vs Test d’intrusion applica5f Top10 Web Tests d’intrusion Analyse du code A1 -­‐ Injec5on ++ +++ A2 – Viola5on de Session / Authen5fica5on ++ + A3 – Cross Site Scrip5ng +++ +++ A4 – Référence Directes + +++ A5 – Mauvaise configura5on + ++ A6 – Exposi5on de données ++ + A7 – Probleme d’habilita5on fonc5onnelle + + A8 -­‐ CSRF ++ + A9 – U5lisa5on de Composants vulnérables +++ A10 – Redirec5on et transferts + +
  • 7. 7 axes pour couvrir la qualité d’un code Architecture et Concep5on Code Source Code dupliqué Test unitaires Bugs Complexité Commentaires Règle de codage • Bugs • Non respect des standards de codage • Duplica5on de code • Manque de tests unitaires • Code trop complexe • Concep5on spagheg • Trop ou pas assez de code commenté.
  • 8. SonarQube • Plateforme centralisé de ges5on de la qualité : – Profils de qualité – Intégrable dans la chaine de build – Support de nombreux languages (C/C++, java, php, javascript, ...) – Plugins/extensions disponibles – Ges5on de rapports et visualisa5on de l’évolu5on – Existe en version Open-­‐Source
  • 10. SonarQube pour la sécurité applica5ve • S’intègre dans le SDLC – liens possible avec Jenkins/Hudson – Repor5ng sur les viola5ons – Possibilité d’ajouter des règles • Dispose de règles permeoant de couvrir – non respect des regles de codage – découverte de bugs sécurité(XSS, SQl-­‐Injec5on)
  • 11. SonarQube pour la sécurité applica5ve • Ce n’est pas un ou5l de revue de code ! – Il fonc5onne sur la viola5on de règles; détec5on de paoerns uniquement • Il 5re toute sa puissance – si vous disposez d’une poli5que de Secure Coding – si vous démarrer un nouveau projet • Il n’est pas “tres” orienté sécurité actuellement – peu de plugins de sécurité – pas de profils type pour les viola5ons de secure coding.
  • 12. Le projet OWASP SonarQube • Collabora5on OWASP / SonarSource – Meore a disposi5on de la communauté un ensemble de règles, profils, et plugins pour analyser la sécurité avec SonarQube. • Plusieurs buts prévus – Livraison d’un profil OWASP Top10 supporté et maintenu par le projet début Octobre 2014 vis a vis du langage Java. – Livraison d’autres profils (probablement en 2015): • ASVS • ISO 27034-­‐5 • CERT Secure Coding – Développement de plugins spécifiques OWASP • pour les autres langages
  • 13. Prochaines Dates • OWASP AppSecUSA 2014 – Denver Colorado – 16 au 19 Septembre 2014 – hop://2014.appsecusa.org/2014/ • Club 27001 /Paris -­‐ 25 Septembre 2014 – Présenta5on de la norme ISO 27034 • Applica5on Security Forum Western Switzerland – Yverdon les Bains – 4 au 6 Novembre 2014 – hop://www.appsec-­‐forum.ch/ • CLUSIR InfoNord – 16 Décembre 2014 – Le paradigme de la sécurité des objets connectés; Présenta5on de l’OWASP Top10 IoT • OWASP AppSec EU 2015 – Amsterdam 18 au 21 Mai 2015 13
  • 14. Soutenir l’OWASP • Différentes solu5ons : – Membre Individuel : 50 $ – Membre Entreprise : 5000 $ – Dona5on Libre • Soutenir uniquement le chapitre France : – Single Mee5ng supporter • Nous offrir une salle de mee5ng ! • Par5ciper par un talk ou autre ! • Dona5on simple – Local Chapter supporter : • Nous contacter 14
  • 15. License 15 @SPoint sebas5en.gioria@owasp.org