Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

SonarQube et la Sécurité

2,600 views

Published on

SlideDeck on SonarQube and security at OWASP France Meeting

Published in: Internet
  • Be the first to comment

SonarQube et la Sécurité

  1. 1. OWASP France Meeting 11 Septembre 2014 Mozilla Paris SonarQube et la Sécurité Sébas&en Gioria Sebas5en.Gioria@owasp.org Chapter Leader & Evangelist OWASP France
  2. 2. 2 http://www.google.fr/#q=sebastien gioria ‣ Innovation and Technology @Advens && Application Security Expert ‣ OWASP France Leader & Founder & Evangelist, ‣ OWASP ISO Project & OWASP SonarQube Project Leader ‣ Application Security group leader for the CLUSIF ‣ Proud father of youngs kids trying to hack my digital life. Twitter :@SPoint/@OWASP_France 2
  3. 3. Agenda • L’analyse de code source • SonarQube • Le projet OWASP SonarQube 3
  4. 4. L’analyse de code source résumée
  5. 5. L’analyse de code source • Iden5fier toutes les occurrences d’une faille • Évaluer des facteurs contribuant à la sécurité • Étudier l’applica5on dans le détail • Détecter les erreurs d’implémenta5on sournoises
  6. 6. Analyse du code vs Test d’intrusion applica5f Top10 Web Tests d’intrusion Analyse du code A1 -­‐ Injec5on ++ +++ A2 – Viola5on de Session / Authen5fica5on ++ + A3 – Cross Site Scrip5ng +++ +++ A4 – Référence Directes + +++ A5 – Mauvaise configura5on + ++ A6 – Exposi5on de données ++ + A7 – Probleme d’habilita5on fonc5onnelle + + A8 -­‐ CSRF ++ + A9 – U5lisa5on de Composants vulnérables +++ A10 – Redirec5on et transferts + +
  7. 7. 7 axes pour couvrir la qualité d’un code Architecture et Concep5on Code Source Code dupliqué Test unitaires Bugs Complexité Commentaires Règle de codage • Bugs • Non respect des standards de codage • Duplica5on de code • Manque de tests unitaires • Code trop complexe • Concep5on spagheg • Trop ou pas assez de code commenté.
  8. 8. SonarQube • Plateforme centralisé de ges5on de la qualité : – Profils de qualité – Intégrable dans la chaine de build – Support de nombreux languages (C/C++, java, php, javascript, ...) – Plugins/extensions disponibles – Ges5on de rapports et visualisa5on de l’évolu5on – Existe en version Open-­‐Source
  9. 9. Démo
  10. 10. SonarQube pour la sécurité applica5ve • S’intègre dans le SDLC – liens possible avec Jenkins/Hudson – Repor5ng sur les viola5ons – Possibilité d’ajouter des règles • Dispose de règles permeoant de couvrir – non respect des regles de codage – découverte de bugs sécurité(XSS, SQl-­‐Injec5on)
  11. 11. SonarQube pour la sécurité applica5ve • Ce n’est pas un ou5l de revue de code ! – Il fonc5onne sur la viola5on de règles; détec5on de paoerns uniquement • Il 5re toute sa puissance – si vous disposez d’une poli5que de Secure Coding – si vous démarrer un nouveau projet • Il n’est pas “tres” orienté sécurité actuellement – peu de plugins de sécurité – pas de profils type pour les viola5ons de secure coding.
  12. 12. Le projet OWASP SonarQube • Collabora5on OWASP / SonarSource – Meore a disposi5on de la communauté un ensemble de règles, profils, et plugins pour analyser la sécurité avec SonarQube. • Plusieurs buts prévus – Livraison d’un profil OWASP Top10 supporté et maintenu par le projet début Octobre 2014 vis a vis du langage Java. – Livraison d’autres profils (probablement en 2015): • ASVS • ISO 27034-­‐5 • CERT Secure Coding – Développement de plugins spécifiques OWASP • pour les autres langages
  13. 13. Prochaines Dates • OWASP AppSecUSA 2014 – Denver Colorado – 16 au 19 Septembre 2014 – hop://2014.appsecusa.org/2014/ • Club 27001 /Paris -­‐ 25 Septembre 2014 – Présenta5on de la norme ISO 27034 • Applica5on Security Forum Western Switzerland – Yverdon les Bains – 4 au 6 Novembre 2014 – hop://www.appsec-­‐forum.ch/ • CLUSIR InfoNord – 16 Décembre 2014 – Le paradigme de la sécurité des objets connectés; Présenta5on de l’OWASP Top10 IoT • OWASP AppSec EU 2015 – Amsterdam 18 au 21 Mai 2015 13
  14. 14. Soutenir l’OWASP • Différentes solu5ons : – Membre Individuel : 50 $ – Membre Entreprise : 5000 $ – Dona5on Libre • Soutenir uniquement le chapitre France : – Single Mee5ng supporter • Nous offrir une salle de mee5ng ! • Par5ciper par un talk ou autre ! • Dona5on simple – Local Chapter supporter : • Nous contacter 14
  15. 15. License 15 @SPoint sebas5en.gioria@owasp.org

×