SonarQube et la Sécurité
-
Upload
sebastien-gioria -
Category
Internet
-
view
776 -
download
1
description
Transcript of SonarQube et la Sécurité
![Page 1: SonarQube et la Sécurité](https://reader033.fdocuments.fr/reader033/viewer/2022050921/5538a97b4a795971788b47a8/html5/thumbnails/1.jpg)
OWASP France Meeting 11 Septembre 2014
Mozilla Paris Sébas&en Gioria [email protected] Chapter Leader & Evangelist OWASP France
SonarQube et la Sécurité
![Page 2: SonarQube et la Sécurité](https://reader033.fdocuments.fr/reader033/viewer/2022050921/5538a97b4a795971788b47a8/html5/thumbnails/2.jpg)
2
http://www.google.fr/#q=sebastien gioria
‣ OWASP France Leader & Founder & Evangelist, ‣ OWASP ISO Project & OWASP SonarQube Project Leader
‣ Innovation and Technology @Advens && Application Security Expert
Twitter :@SPoint/@OWASP_France
2
‣ Application Security group leader for the CLUSIF
‣ Proud father of youngs kids trying to hack my digital life.
![Page 3: SonarQube et la Sécurité](https://reader033.fdocuments.fr/reader033/viewer/2022050921/5538a97b4a795971788b47a8/html5/thumbnails/3.jpg)
Agenda
• L’analyse de code source • SonarQube
• Le projet OWASP SonarQube
3
![Page 4: SonarQube et la Sécurité](https://reader033.fdocuments.fr/reader033/viewer/2022050921/5538a97b4a795971788b47a8/html5/thumbnails/4.jpg)
L’analyse de code source résumée
![Page 5: SonarQube et la Sécurité](https://reader033.fdocuments.fr/reader033/viewer/2022050921/5538a97b4a795971788b47a8/html5/thumbnails/5.jpg)
L’analyse de code source
• Iden5fier toutes les occurrences d’une faille
• Évaluer des facteurs contribuant à la sécurité
• Étudier l’applica5on dans le détail
• Détecter les erreurs d’implémenta5on sournoises
![Page 6: SonarQube et la Sécurité](https://reader033.fdocuments.fr/reader033/viewer/2022050921/5538a97b4a795971788b47a8/html5/thumbnails/6.jpg)
Analyse du code vs Test d’intrusion applica5f
Top10 Web Tests d’intrusion Analyse du code A1 -‐ Injec5on ++ +++
A2 – Viola5on de Session / Authen5fica5on
++ +
A3 – Cross Site Scrip5ng +++ +++ A4 – Référence Directes + +++
A5 – Mauvaise configura5on + ++ A6 – Exposi5on de données ++ + A7 – Probleme d’habilita5on
fonc5onnelle + +
A8 -‐ CSRF ++ + A9 – U5lisa5on de Composants
vulnérables +++
A10 – Redirec5on et transferts + +
![Page 7: SonarQube et la Sécurité](https://reader033.fdocuments.fr/reader033/viewer/2022050921/5538a97b4a795971788b47a8/html5/thumbnails/7.jpg)
7 axes pour couvrir la qualité d’un code
Code Source
Architecture et Concep5on
Code dupliqué
Test unitaires
Complexité Bugs
Règle de codage
Commentaires
• Bugs • Non respect des standards de codage
• Duplica5on de code • Manque de tests unitaires
• Code trop complexe • Concep5on spagheg • Trop ou pas assez de code commenté.
![Page 8: SonarQube et la Sécurité](https://reader033.fdocuments.fr/reader033/viewer/2022050921/5538a97b4a795971788b47a8/html5/thumbnails/8.jpg)
SonarQube
• Plateforme centralisé de ges5on de la qualité : – Profils de qualité – Intégrable dans la chaine de build – Support de nombreux languages (C/C++, java, php, javascript, ...)
– Plugins/extensions disponibles – Ges5on de rapports et visualisa5on de l’évolu5on – Existe en version Open-‐Source
![Page 9: SonarQube et la Sécurité](https://reader033.fdocuments.fr/reader033/viewer/2022050921/5538a97b4a795971788b47a8/html5/thumbnails/9.jpg)
Démo
![Page 10: SonarQube et la Sécurité](https://reader033.fdocuments.fr/reader033/viewer/2022050921/5538a97b4a795971788b47a8/html5/thumbnails/10.jpg)
SonarQube pour la sécurité applica5ve
• S’intègre dans le SDLC – liens possible avec Jenkins/Hudson – Repor5ng sur les viola5ons – Possibilité d’ajouter des règles
• Dispose de règles permeoant de couvrir – non respect des regles de codage – découverte de bugs sécurité(XSS, SQl-‐Injec5on)
![Page 11: SonarQube et la Sécurité](https://reader033.fdocuments.fr/reader033/viewer/2022050921/5538a97b4a795971788b47a8/html5/thumbnails/11.jpg)
SonarQube pour la sécurité applica5ve
• Ce n’est pas un ou5l de revue de code ! – Il fonc5onne sur la viola5on de règles; détec5on de paoerns uniquement
• Il 5re toute sa puissance – si vous disposez d’une poli5que de Secure Coding – si vous démarrer un nouveau projet
• Il n’est pas “tres” orienté sécurité actuellement – peu de plugins de sécurité – pas de profils type pour les viola5ons de secure coding.
![Page 12: SonarQube et la Sécurité](https://reader033.fdocuments.fr/reader033/viewer/2022050921/5538a97b4a795971788b47a8/html5/thumbnails/12.jpg)
Le projet OWASP SonarQube
• Collabora5on OWASP / SonarSource – Meore a disposi5on de la communauté un ensemble de règles, profils,
et plugins pour analyser la sécurité avec SonarQube.
• Plusieurs buts prévus – Livraison d’un profil OWASP Top10 supporté et maintenu par le projet
début Octobre 2014 vis a vis du langage Java. – Livraison d’autres profils (probablement en 2015):
• ASVS • ISO 27034-‐5 • CERT Secure Coding
– Développement de plugins spécifiques OWASP • pour les autres langages
![Page 13: SonarQube et la Sécurité](https://reader033.fdocuments.fr/reader033/viewer/2022050921/5538a97b4a795971788b47a8/html5/thumbnails/13.jpg)
Prochaines Dates
• OWASP AppSecUSA 2014 – Denver Colorado – 16 au 19 Septembre 2014 – hop://2014.appsecusa.org/2014/
• Club 27001 /Paris -‐ 25 Septembre 2014 – Présenta5on de la norme ISO 27034
• Applica5on Security Forum Western Switzerland – Yverdon les Bains – 4 au 6 Novembre 2014
– hop://www.appsec-‐forum.ch/
• CLUSIR InfoNord – 16 Décembre 2014 – Le paradigme de la sécurité des objets connectés; Présenta5on de l’OWASP Top10 IoT
• OWASP AppSec EU 2015 – Amsterdam 18 au 21 Mai 2015
13
![Page 14: SonarQube et la Sécurité](https://reader033.fdocuments.fr/reader033/viewer/2022050921/5538a97b4a795971788b47a8/html5/thumbnails/14.jpg)
Soutenir l’OWASP
• Différentes solu5ons : – Membre Individuel : 50 $ – Membre Entreprise : 5000 $ – Dona5on Libre
• Soutenir uniquement le chapitre France : – Single Mee5ng supporter
• Nous offrir une salle de mee5ng ! • Par5ciper par un talk ou autre ! • Dona5on simple
– Local Chapter supporter : • Nous contacter
14