Discussion :

[EvilAngel]

Salut à tous,

Dans le cadre d'une mission de qualité, on m'a demandé d'auditer le code source d'une application.

Ceci dit, je n'ai jamais fait d'audit de code source.

Existe-t-il des méthodologies, des bonnes pratiques, des guides sur la façon de mener l'analyse d'un code source ?

Merci

[souviron34]

oui

ne pas penser qu'on peut faire l'audit d'un code sans :

1. être expert du langage utilisé
2. connaître et comprendre l'architecture haut niveau
3. avoir une bonne connaissance du domaine d'application
4. avoir une bonne connaissance des contraintes demandées au départ
5. avoir une bonne connaissance des contraintes deandées maintenant

[slevy]

Un outils qui peut t'aider c'est PMD sur sourceforge :
http://pmd.sourceforge.net/

Il s'intègre à la plupart des IDE.

[EvilAngel]

Merci pour l'outil.
Effectivement il est réputé.

Ceci dit, n'ayant jamais fait d'audit de code, je chercher une méthodologie, une démarche à suivre avant de me lancer dans le code.

L'étude séquentielle de toutes les lignes unes à unes ne me paraît pas la bonne solution.

Les conseils de souviron34 sont intéressants.

J'ai trouvé OWASP qui propose une méthode d'analyse de code source.

[Laurent Tardif]

La premiere question avant de chercher la methodologie ou l'outils, est :
'Que veux tu auditer' ?
La qualité du code ?
La testabilite du code ?
La securite du code ?
La scalabilité du code ?
La maintenabilité du code ?
La documentation du code ?
Les outils type PMD/checkstyle/Coverity/phpSniffer/cobertura... te donneront des idees sur des points precis. Apres faut un outils de type dashboard pour avoir une vue globale.
PMD peut te mettre en avant des pbs de codage ou de non respect de 'regles' de base. Par contre, si ton code est un sac de nouilles (class coupling) sans documentations (javancss) il ne te dira rien. D'ou l'interet de savoir ce qu'on cherche :-)

[Trankille]

Bonjour,
je remonte ce topic car je vais peut être devoir faire un audit de code source, notamment sur du C.
J'aimerais savoir s'il existe des méthodes pour réaliser un audit au mieux.

mélanger analyse statique + analyse manuelle ?

si vous connaissez des bouquins, doc, méthodes, je suis preneur.
En vous remerciant

[Trankille]

personne ne fait de l'audit de code ?

[souviron34]

si, si on me paye...




Et, ce qui rejoint le message de Laurent Tardif, quelle est la raison de l'audit, sur quels points ?

[Trankille]

si, si on me paye...




Et, ce qui rejoint le message de Laurent Tardif, quelle est la raison de l'audit, sur quels points ?

ça serait sur la sécurité du code.

En fait, si j'ai bien compris ce que j'ai pu avoir comme info, pour réaliser un audit il faut:
-> se donner un objectif
-> connaitre ce qu'on veut protéger

[souviron34]

-> se donner un objectif

Très certainement ..

-> connaitre ce qu'on veut protéger

Pourquoi "protéger" ??

On peut vouloir faire un audit pour des raisons de performance, de changement de langage, de rapport de bug, d'inclusion dans un autre logiciel, de récupération à l'intérieur d'un logiciel, de documentation, etc etc...

Il y a 200 000 raisons de faire un audit...



Mais surtout, ce que tu oublies et qui est essentiel :

il faut connaître le langage et ses subtilités, et si possible le cadre dans lequel/pour lequel il a été fait..

Bref, avec tes questions, tu ne me sembles pas très adapté à faire cet audit de façon sérieuse...

[Trankille]

Très certainement ..







Pourquoi "protéger" ??

On peut vouloir faire un audit pour des raisons de performance, de changement de langage, de rapport de bug, d'inclusion dans un autre logiciel, de récupération à l'intérieur d'un logiciel, de documentation, etc etc...

Il y a 200 000 raisons de faire un audit...



Mais surtout, ce que tu oublies et qui est essentiel :

il faut connaître le langage et ses subtilités, et si possible le cadre dans lequel/pour lequel il a été fait..

Bref, avec tes questions, tu ne me sembles pas très adapté à faire cet audit de façon sérieuse...

cassé

Question plus "concrète":
Quand tu fais un audit de code: tu commences par quoi ? utiliser des outils puis regarder le code ? TOUT le code ?

[souviron34]

Encore une fois ça dépend du pourquoi de l'audit...

En ce qui concerne la sécurité, on fera très certainement une analyse approfondie :

• des saisies (si il y en a)
• des allocations mémores (et de leurs longueurs), en fonction des paramètres d'entrée et/ou de sortie

Mais même le terme "sécurité" est vague...

Sécurité dans quel sens :

• souplesse vis-à-vis d'entrées de tailles variables ?
• sécurité au sens "failles" internet ?
• sécurté au sens robustesse ?
• sécurité au sens algorithmique ?
• sécurtié par rapport aux jeux de données ?
• sécurité au sens erreurs d'allocations mémoire ?
• ...

Et comme dt plus haut, il n'y a pas de "généralités", ça dépend du but de l'audit et de comment le code est structuré..

Ca peut être une petite partie du source, ou tout le source..

Quant aux outils, encore une fois ça dépend du type d'audit.. et de la documentation à disposition..




PS: comme l'indique ma signature, je peux faire de l'audit en sous-traitance