IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Autres Discussion :

Quels outils d'analyse de code source utilisez-vous pour découvrir les problèmes de sécurité?


Sujet :

Autres

  1. #1
    Membre averti

    Profil pro
    Inscrit en
    octobre 2006
    Messages
    67
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : octobre 2006
    Messages : 67
    Points : 406
    Points
    406
    Par défaut Quels outils d'analyse de code source utilisez-vous pour découvrir les problèmes de sécurité?
    Quels outils d'analyse de code source utilisez-vous pour découvrir les problèmes de sécurité?
    Venez partager votre expérience avec la communauté Développez



    Il existe des outils analysant le code source afin d'y détecter des erreurs de programmation ou même des problèmes de sécurité. Certains sont gratuits (FindBug, PMD pour java, FxCop pour dotNET), d'autres commerciaux et très chers (IBM Rational AppScan Source, HP Fortify,...).

    A l'heure où les attaques sur les applications internet se multiplient, de nombreux experts recommandent l'utilisation de ces outils.

    Et vous ?

    Quelles sont vos expériences avec ces outils? Lequel utilisez-vous et pourquoi celui-là? Auxquels avez-vous (ou votre entreprise) renoncé, pour quelles raisons? Comment sont-ils intégrés dans le processus de développement?

    N'hésitez pas àpartager votre expérience avec la communauté Développez

  2. #2
    Nouveau membre du Club
    Profil pro
    Inscrit en
    septembre 2007
    Messages
    12
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : septembre 2007
    Messages : 12
    Points : 30
    Points
    30
    Par défaut
    Devant la foule de reponse a ce topic..on peut en déduire que personnes ne teste la sécurité de ses applis !!

  3. #3
    Membre averti Avatar de elmcherqui
    Profil pro
    Inscrit en
    février 2008
    Messages
    281
    Détails du profil
    Informations personnelles :
    Âge : 34
    Localisation : Maroc

    Informations forums :
    Inscription : février 2008
    Messages : 281
    Points : 372
    Points
    372
    Par défaut
    Topic très très très intéressant , et pour ma part je n'utilise aucun plugin et sa m'intéresserais de profiter de l'expérience des autres sur ce sujet .

  4. #4
    Membre chevronné
    Profil pro
    Inscrit en
    janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : janvier 2007
    Messages : 1 448
    Points : 2 184
    Points
    2 184
    Par défaut
    Citation Envoyé par Jonathan38 Voir le message
    Devant la foule de reponse a ce topic..on peut en déduire que personnes ne teste la sécurité de ses applis !!
    hello,

    amha, l'analyse dynamique à plus de popularité. Cela me semble plus simple et plus concret. C'est d'ailleurs ma méthode de prédilection.

    Je n'ai jamais pratiqué l'analyse statique d'un source code pour en découvrir ces failles, mais j'ai si je devais le faire, ma crainte serait que les messages renvoyés par l'analyseur soient complètement cryptique, et ou peu probant.

    Cependant je reste curieux des retours d'expérience dans ce domaine.

    a plus

  5. #5
    Membre actif
    Homme Profil pro
    Ingénierie des systemes embarqués temps réels
    Inscrit en
    juin 2006
    Messages
    152
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France

    Informations professionnelles :
    Activité : Ingénierie des systemes embarqués temps réels
    Secteur : Santé

    Informations forums :
    Inscription : juin 2006
    Messages : 152
    Points : 231
    Points
    231
    Par défaut
    Hello!
    Quand à moi, j'utilise Polyspace . Ex frenchie appartenant maintenant à
    The mathworks.
    Pendant 25 ans j'ai toujours cru que le soleil se levait à l'est et se couchait à l'ouest... 1/4 de siècle à remettre en cause...
    _______________________ ______________
    Systèmes embarqués RT et Informatique Industrielle.
    Conception, intégration électronique et logicielle.
    Développement des drivers ,GUI,et softs pour vos applications.
    _______
    Debian ,CentOS,Suse,Windows(xp pro,7).

  6. #6
    Membre averti
    Avatar de if_zen
    Homme Profil pro
    Développeur Java
    Inscrit en
    juin 2004
    Messages
    275
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juin 2004
    Messages : 275
    Points : 314
    Points
    314
    Par défaut
    Est-ce que ça existe au moins ?

    Je pense que ça dépend beaucoup de la plateforme. On ne devrait pas du tout trouver les mêmes outils pour analyser un site web et ses failles css, que pour une appli lourde avec ses flux réseaux (Tiens ça me fait penser à l'ex Ethereal, SiW je crois, pour commencer à citer un outil), ses accès mémoire (heuu, de tête valgrind pour les applis en C ?), les fuites (jprobe, et l'équivalent gratuit fourni avec la JDK pour Java), ses accès aux ressources et périphériques systèmes (et là encore, on divise entre W$, Nux et la pomme)... Et encore j'oublie sûrement d'autres sujets.
    Je pense que je sujet "sécurité" est bien trop large pour que les gens y répondent exhaustivement, et surtout, pour qu'on y trouve un logiciel capable de tout faire.

    En tout cas je suis comme les personnes précédentes : les retours m'intéressent beaucoup.

  7. #7
    Membre du Club
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mars 2003
    Messages
    57
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : mars 2003
    Messages : 57
    Points : 61
    Points
    61
    Par défaut
    Les dave de mon appli sont en java et j'ai par curiosité lancé findbugs... Et bien ce fut très intéressant ! Ce qu'il dit est vrai (en tout cas pour les points que j'ai regardé) je le recommande donc.

    Maintenant la philosophie de ma boite est plutôt basée sur des revues de pairs qui ont une plus value car effectuée par des developeurs confirmés. Mais cette pratique est bonne lorsqu'elle est régulière ET fréquente.

    Une combinaison des 2 est, a mon avis, une bonne approche.

  8. #8
    Membre averti
    Avatar de if_zen
    Homme Profil pro
    Développeur Java
    Inscrit en
    juin 2004
    Messages
    275
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juin 2004
    Messages : 275
    Points : 314
    Points
    314
    Par défaut
    @Pignoufy : Intéressant pour findbugs. J'ai également entendu parler de Metrics et de PMD pour les programmes Java (mais j'ai peur qu'on s'éloigne du sujet de la sécurité là).

    Les revues de pairs est-elle une pratique plutôt répandue dans l'entreprise ? Chez nous on n'a pas encore franchi le pas, mais on pourrait y songer.

  9. #9
    Membre du Club
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mars 2003
    Messages
    57
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : mars 2003
    Messages : 57
    Points : 61
    Points
    61
    Par défaut
    Effectivement on s'éloigne un peu du sujet mais cela t'interesse on peut en discuter par MP ou ouvrir une nouvelle discussion sur le sujet ?...

    Je viens de relire le sujet initial du post (que j'avais lu un peu trop vite ) : la question porte surtout sur les applications web, ce qui n'est pas le style d'appli que j'ai pu développé durant ces dernières années.

    Dans tous les cas, l'utilisation d'outils d'analyse de code, de déverminage est un réflexe à avoir surtout qu'ils peuvent être dans le vrai ! Dans un environnement d'intégration continu, ces rapports peuvent générés toutes les nuits (et oui, les machines n'ont pas de syndic ) et envoyés à qui de droit pour gérer au mieux les développements et surtout éviter les dérives qui peuvent coûtées chères si elles sont découvertes tardivement...

  10. #10
    Membre averti
    Homme Profil pro
    Dev
    Inscrit en
    novembre 2006
    Messages
    104
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Dev

    Informations forums :
    Inscription : novembre 2006
    Messages : 104
    Points : 318
    Points
    318
    Par défaut
    Perso FindBugs
    Et il marche bien

  11. #11
    Membre averti

    Profil pro
    Inscrit en
    octobre 2006
    Messages
    67
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : octobre 2006
    Messages : 67
    Points : 406
    Points
    406
    Par défaut
    Citation Envoyé par Pignoufy Voir le message
    Je viens de relire le sujet initial du post (que j'avais lu un peu trop vite ) : la question porte surtout sur les applications web, ce qui n'est pas le style d'appli que j'ai pu développé durant ces dernières années.
    Si j'ai porté ma question sur les applications web, c'est parce qu'elles représentent la majorité des applis développées dans ma boîte. Et parce qu'elles sont a priori les plus exposées. Toutefois, d'autres applications peuvent être sensibles car utilisant internet (pour charger des données, des mises à jour, des informations géographiques, des bibliothèques de code, des rapports d'erreur,...). Un retour serait aussi intéressant!

  12. #12
    Membre confirmé

    Profil pro
    Inscrit en
    décembre 2006
    Messages
    460
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2006
    Messages : 460
    Points : 473
    Points
    473
    Par défaut
    Chez nous c'est du dev php / ajax.
    J'avais ouvert un post à une époque, sans grand succès non plus !
    http://www.developpez.net/forums/d96...-utilisez-php/

    Je n'ai pas encore trouver l'outil ultime
    Ratproxy est pas mal. C'est à peu près le seul qui est "validé" en interne, surtout pour le javascript.

    Sinon, phpsecaudit et w3af. Mais je cherche mieux ...

  13. #13
    Membre habitué
    Inscrit en
    septembre 2010
    Messages
    84
    Détails du profil
    Informations forums :
    Inscription : septembre 2010
    Messages : 84
    Points : 179
    Points
    179
    Par défaut
    Un outil pour rechercher les failles de sécurité...

    Hé bien chez nous c'est juste l'être humain.
    Parce qu'avant de se poser ce genre de questions, il faudrait que les mots de passe ne soient pas en clair dans les tables et surtout que les personnes qui s'occupent du SAV évitent de donner un mot de passe à un type qui le demande au téléphone et ne fournit rien de plus que son nom et celui de sa société

  14. #14
    Nouveau membre du Club
    Inscrit en
    mars 2002
    Messages
    31
    Détails du profil
    Informations forums :
    Inscription : mars 2002
    Messages : 31
    Points : 25
    Points
    25
    Par défaut
    J'ai mis en place Sonar pour l'analyse statique et dynamique des prog java (via CheckStyle, Cobertura, PMD et FindBug).

    Pour répondre à la question, FindBug détecte, en autres, les failles de sécurité les plus courante.
    De mon point de vue, il est très efficace et rarement remis en cause.

    J'en profite aussi pour faire un feedback sur les outils OpenSource C++ :
    CppCheck --> équivalent java de Find bug + CheckStyle
    Flawfinder --> security weaknesses
    RATS --> Security weaknesses
    AntiC --> Find bug

    @+

  15. #15
    Membre averti
    Profil pro
    Inscrit en
    février 2007
    Messages
    182
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : février 2007
    Messages : 182
    Points : 399
    Points
    399
    Par défaut outils
    java : findbugs
    C/C++: polyspace (projet embarque en c), glowcode (C++/windows), purify.

    l idee en general n etait pas vraiment de verifier la securite de l application (a par dans le cas ou on a utilise polyspace) mais plus de resoudre des problemes de fuite de memoire.
    dans le cas de findbugs, c etait une initiative perso, couplee aux revus de code organisees par ma societe

    avis perso:
    purify est tres bien :-) .

    glowcode est nettement moins pratique a utiliser

    polyspace sort enormement de problems qui peuvent etre dans certains cas des fausses alertes (faux positifs). etant donné le temps pour investiguer chaque probleme, la majeur partie des problemes ont ete ignores (polyspace classe les problemes en rouge, orange et jaune). On a regarde que les cas classés rouge. On avait tort, on a trouve plus tard par hasard un probleme serieux par hasard. celui ci avait ete detecte par polyspace mais classe orange
    Polyspace ne connaissant pas l application, il ne peut deduire les effets du probleme (par ex un overflow sur une variable avait ete la cause de la perte de la premiere ariane V. a priori pas un bug super mechant)

  16. #16
    Membre averti

    Profil pro
    Inscrit en
    mars 2002
    Messages
    223
    Détails du profil
    Informations personnelles :
    Localisation : France, Isère (Rhône Alpes)

    Informations forums :
    Inscription : mars 2002
    Messages : 223
    Points : 445
    Points
    445
    Par défaut
    Pour les applications C/C++, nous utilisons deux outils differents :

    * Un Rule Checker - Vérificateur de règles. QAC/QaC++ de chez PRQA.
    * Un Static Analyzer - Analyse statique de code. CodeSonar de chez Gammatech.

    Le premier vérifie les bonnes pratiques de codage, y compris les règles de codage en vigueur dans l'entreprise.
    Ce genre d'outil trouve peu de bugs, mais plutôt des faiblesses dans la maintenabilité, la portabilité, et un peu la robustesse.

    Le second est plus orienté robustesse (puisqu'il compile et simule le code), il vérifie les chemin possibles et l'excursion des données pour détecter des problèmes mémoire, de non-initialisation de donnée, d'overflow et de code mort.

    Bien sûr, cela n'empêche pas les relectures croisées ... mais sur de grosses applications, les outils aident bien ... mais il faut relativiser : ce n'est pas magique !
    Delphi + JavaDoc = DelphiCodeToDoc
    http://dephicodetodoc.sourceforge.net/

    TridenT Dev blog
    http://tridentjob.blogspot.fr/

  17. #17
    Candidat au Club
    Homme Profil pro
    Consultant Monétique & Sécurité
    Inscrit en
    janvier 2008
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Monétique & Sécurité
    Secteur : Conseil

    Informations forums :
    Inscription : janvier 2008
    Messages : 2
    Points : 3
    Points
    3
    Par défaut
    Bonjour,
    Réponse légèrement tardive, mais comme dit le proverbe "mieux vaut tard ...."

    C'est une question très intéressante, je suis, entre autres, responsable sécurité logicielle dans une SSII et je traite ce sujet très au sérieux.

    J'utilise :
    FindBugs : pour l'analyse du code
    Acunetix : pour les failles de sécurité
    Revue de code systématique avant déploiement

    Cordialement
    Vic

  18. #18
    Membre chevronné
    Profil pro
    Inscrit en
    janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : janvier 2007
    Messages : 1 448
    Points : 2 184
    Points
    2 184
    Par défaut
    Citation Envoyé par vic78 Voir le message
    Bonjour,
    Réponse légèrement tardive, mais comme dit le proverbe "mieux vaut tard ...."

    C'est une question très intéressante, je suis, entre autres, responsable sécurité logicielle dans une SSII et je traite ce sujet très au sérieux.

    J'utilise :
    FindBugs : pour l'analyse du code
    Acunetix : pour les failles de sécurité
    Revue de code systématique avant déploiement

    Cordialement
    Vic
    hello,

    aurais tu des ressources disponibles sur le web que tu sais particulièrement touffues sur ces sujets ?

    a +

  19. #19
    Candidat au Club
    Homme Profil pro
    Consultant Monétique & Sécurité
    Inscrit en
    janvier 2008
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant Monétique & Sécurité
    Secteur : Conseil

    Informations forums :
    Inscription : janvier 2008
    Messages : 2
    Points : 3
    Points
    3
    Par défaut
    Salut kaymak
    Je pose certainement une question idiote ..... mais tu souhaites avoir des ressources sur quoi ?
    - Les outils (FindBugs, acunetix, etc.)
    ou
    - sur la sécurité logicielle en générale ?

  20. #20
    Membre chevronné
    Profil pro
    Inscrit en
    janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : janvier 2007
    Messages : 1 448
    Points : 2 184
    Points
    2 184
    Par défaut
    Citation Envoyé par vic78 Voir le message
    Salut kaymak
    Je pose certainement une question idiote ..... mais tu souhaites avoir des ressources sur quoi ?
    - Les outils (FindBugs, acunetix, etc.)
    ou
    - sur la sécurité logicielle en générale ?
    Hello,

    Merci de ta réponse, en fait des ressources utiles. C'est un peu simple comme réponse, mais souvent je cherche des ressources sur un sujet, et au premier abord je ne dispose pas des bons mots clés et je me retrouve avec des trucs complètement inutile, désuet, hors d'âge etc.

    Alors que lorsqu'on commence à connaitre un peu le sujet, avec le champ lexical approprié, les ressources que l'on trouve sont bien meilleures.

    La semaine dernière encore je découvrait jmeter, et il y à de tout comme ressources, des trucs bien, et des trucs moins bien, mais les bonnes ressources je ne les ai trouvées qu'après un certain apprentissage.

    D'où ma question, qui vise en fait, je l'avoue, à profiter de ton expérience et de tes recherches !! : )
    Après ma question était ici rapporté au sujet du thread, les procédures, outils, théories(?) sur le test de logiciel, en général, car je suis curieux de voir ce qu'il se fait pour tester des codes asm par exemple (si c'est seulement possible, c'est peut une ânerie comme exemple).

    Ma question ne portait pas vraiment sur le fonctionnement des buffers/stack overflow ou autres plaisirs de la sécurité logicielle etc j'ai déjà quelques lectures à ce sujet, comme misc par exemple !

    'fin voilà !

    a +

Discussions similaires

  1. Réponses: 4
    Dernier message: 15/04/2020, 15h45
  2. Quel format utilisez-vous pour lire les tutoriels de Developpez.com ?
    Par LittleWhite dans le forum Evolutions du club
    Réponses: 26
    Dernier message: 04/12/2014, 14h45
  3. Quel outil de gestion/remontée de bugs utilisez-vous ?
    Par lavazavio dans le forum Outils
    Réponses: 0
    Dernier message: 09/06/2011, 12h07
  4. Outil d'analyse de code
    Par Bloon dans le forum Outils
    Réponses: 8
    Dernier message: 07/08/2007, 09h04
  5. [VB]Recherche outil(s) d'aide àl'analyse de code source
    Par David.Schris dans le forum VB 6 et antérieur
    Réponses: 9
    Dernier message: 28/02/2006, 14h57

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo