Voir le flux RSS

autran

Gestion de la sécurité du code source.

Noter ce billet
par , 05/01/2017 à 19h00 (448 Affichages)
Aujourd’hui, il est important de développer du code source conforme aux exigences de sécurité.
Depuis très longtemps les manuels (et de nombreux articles sur DVP) expliquent comment produire du code robuste et qui résiste aux failles de sécurité connues (XSS, SQL Injection, Injection directe ...). En revanche, on ne trouve rien dans la littérature concernant les failles de sécurité qui n'existent pas ou contre lesquelles on ne dispose pas de méthodes de prévention académiques.
En effet, lorsqu'un hacker (quel que soit la couleur de son chapeau) souhaite réellement réaliser une intrusion ou un vol de données, il y parviendra soyez-en sûr ! Donc si aujourd'hui on ne connaît pas la faille de sécurité qui met en danger un système cela ne démontre en rien qu'elle n'existe pas. Aussi pour celui qui n'est pas caché derrière la certitude que son système est inviolable, il pourrait être intéressant de disposer d'un outil de surveillance de son application qui à défaut de savoir comment a pu survenir un incident de sécurité pourra au moins le détecter et stocker les événements qui lui sont liés. De tels systèmes existent déjà dans le domaine de la surveillance des réseaux de l'administration système et des bases de données. On les appelle communément des SIEM (security information and event management).

Les réseaux en premiers lieux, mais également les systèmes d'exploitation et les bases de données en passant par les messageries électroniques et autres infrastructures d'espace de confiance (PKI ..) sont à considérer comme des systèmes industriels. A ce titre il parait normal que ces pseudo-équipements constituent un écosystème qui à la longue est venu à s'enrichir de systèmes de surveillance standards. En revanche, dans le monde des Systèmes d'Information (développé comme des prototypes pour un usage unique) en général et du code source de ses SI en particulier, la menace est à la fois moins palpable et plus protéiforme. Mais bien que plus éthérée, la menace n'en est pas moins réelle.

Comme vous l'aurez deviner, l'objet de cette série de billets sera de vous proposer quelques pistes de réalisation autour de la problématique de supervision des incidents (ou à minima des événements) de sécurité du code source.
Dans le prochain billet je proposerai donc une étude permettant à des objets, qui auront souvent une teinte métier dans les applications au cœur desquelles ils s’exécutent, mais parfois aussi un déclinaison de services dans les serveurs d'application.
Pour des raisons pédagogiques mais aussi parce que ce domaine est peu abordé dans la littérature sous l'angle de la sécurité, je limiterai volontairement mon propos a ce que l'on appelle le back en opposition au front. Donc on ne trouvera jamais de HTML5, il ne s'agira pas de faire de web-security ,d'autant que j'ai précédemment commencé à en parler dans une autre série de billets.

Afin que les méthodes que je conseille soient comprise du lecteur, je les implémenterai dans un des 5 langages les plus couramment utilisés pour développer en back, qui sont à mon avis :
  • Java (JEE)
  • C# (.NET)
  • JavaScript (Node.js)
  • PHP
  • C++

J'ai volontairement exclu le C++ car je le pense trop rare en terme de cible de lecteurs. Je reconnais néanmoins qu'on le rencontre encore dans de nombreux moteurs de pricing et de booking et mon grand age ainsi qu'une dizaine années de développement dessus m'oblige à laisser à ce langage le rang d'honneur.
J’éviterai de présenter quoi que ce soit en JavaScript afin d'éviter la critique gratuite des lecteurs qui se sont déchaînés sur l'un de mes derniers articles dans lesquels j'ai osé dire que JavaScript faisait aussi bien que PHP ou Java pour du back.
Je n'utiliserai pas non plus PHP. Je garde ce langage pour les billets qui traitent de web-security. Je considère que le PHP à une proximité et une orientation web qui en font un langage plutôt limité à cet usage.
Il me reste alors Java ou son clone C#, et je vais choisir le premier qui à mon sens est aujourd'hui enseigné partout.

Mon prochain billet sera donc intitulé : Comment abonner des objets à un enregistreur d’événements en java.
Si vous piloter le risque lié à l’exécution de votre code source, n'hésitez pas a laisser un commentaire à ce billet.

Envoyer le billet « Gestion de la sécurité du code source. » dans le blog Viadeo Envoyer le billet « Gestion de la sécurité du code source. » dans le blog Twitter Envoyer le billet « Gestion de la sécurité du code source. » dans le blog Google Envoyer le billet « Gestion de la sécurité du code source. » dans le blog Facebook Envoyer le billet « Gestion de la sécurité du code source. » dans le blog Digg Envoyer le billet « Gestion de la sécurité du code source. » dans le blog Delicious Envoyer le billet « Gestion de la sécurité du code source. » dans le blog MySpace Envoyer le billet « Gestion de la sécurité du code source. » dans le blog Yahoo

Tags: sécurité
Catégories
Programmation

Commentaires