IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Conception Web Discussion :

Microsoft propose sonar, un outil open source qui va vous permettre de scanner votre site Web


Sujet :

Conception Web

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 925
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 925
    Points : 206 786
    Points
    206 786
    Par défaut Microsoft propose sonar, un outil open source qui va vous permettre de scanner votre site Web
    Microsoft propose sonar, un outil open source qui va vous permettre de scanner votre site Web
    à la recherche de vulnérabilités

    En 2013, Microsoft a lancé modern.IE avec un outil d'analyse statique pour détecter les optimisations pour les anciennes versions de IE, les bibliothèques obsolètes, les préfixes manquants, et plus encore. Cependant, le Web a évolué. Par conséquent l’éditeur a décidé de mettre à jour ses outils pour répondre au mieux aux nouvelles réalités. C’est dans cette optique qu’il a présenté sonar, « un nouvel outil de filtrage et un scanner de site pour le web moderne. »

    Microsoft explique que « Sonar apporte de nombreuses améliorations par rapport aux scanners précédents : une exécution du code du site au lieu d'une simple analyse statique, un ensemble de règles plus flexible et modernisé, une exécution de tests parallèles, une intégration avec d'autres services, une base de code complètement open source dès le premier jour, etc. En outre, sonar peut également être utilisé comme un outil de ligne de commande (CLI) que vous pouvez intégrer directement dans vos flux locaux de travail de développement Web. »

    Sonar est un projet open source disponible sous deux formes : la première consiste en un utilitaire de ligne de commande à intégrer au worflow de développement Web en local, la seconde se présente comme un service en ligne.

    Une fois l’analyse effectuée, sonar pointe non seulement les problèmes, mais « plutôt que simplement dire aux développeurs ce qui n'allait pas, [il] dit aussi pourquoi dans un rapport détaillé. »

    Sonar prend actuellement en charge cinq catégories de règles clés :
    • l'accessibilité : pour le moment avec axe (le moteur d'accessibilité pour les tests automatisés d'interfaces utilisateur basées sur HTML) et meta-charset-utf-8 ;
    • l’interopérabilité : notamment avec content-type, highest-available-document-mode, html-checker, meta-viewport et no-friendly-error-pages ;
    • performance : ici avec amp-validator, image-optimization-cloudinary et no-html-only-headers ;
    • progressive Web App (PWA, une Web App qui va associer le meilleur du web avec le meilleur des applications natives) : Pour rappel, une PWA permet :
      • un chargement instantané : grâce au Service Worker, l'accès au réseau devient optionnel,
      • les Notification Push : la Notification API Notification et la Push API permettent de faire parvenir à l'utilisateur des notifications contextuelles et adéquates, même si le navigateur est fermé (grâce au Service Worker),
      • responsive : l'utilisateur accède à votre application par différents périphériques, votre application doit faire de même et suivre l'utilisateur sur son téléphone, sa tablette ou son ordinateur (voire sa montre),
      • sécurisée : l’utilisation de HTTPS est indispensable pour le Service Worker, et aussi pour les Progressive Web Apps,
      • la disponibilité sur l'écran d'accueil : c'est ici qu’intervient le Web App Manifest va servir.

      Concernant les PWA, sonar apporte apple-touch-icons, manifest-app-name, manifest-exists et manifest-file-extension ;
    • la sécurité : ici, sonar propose disallowed-headers, disown-opener, no-protocol-relative-urls, ssllabs, strict-transport-security, x-content-type-options, validate-set-cookie-header et no-vulnerable-javascript-libraries.

    Selon Microsoft, Sonar améliore les scanners statiques disponibles en exécutant du code de site Web, tout en s'intégrant à d'autres services de numérisation tels que le service de test de configuration de certificats SSL de Qualys, le projet AMP fondé par Google, et snyk.io, qui est le scanner de Sonar pour les bibliothèques JavaScript vulnérables.

    D’ailleurs Snyk explique que, par défaut, Sonar vérifie la présence de bibliothèques JavaScript avec des vulnérabilités connues. Sonar analyse les bibliothèques et les versions utilisées, puis vérifie les vulnérabilités JavaScript côté client de Snyk et génère un rapport avec des liens vers des problèmes sur Snyk, qui contient des informations permettant de remédier à cette vulnérabilité. Snyk note que les développeurs devront toujours vérifier le code côté serveur pour des bogues similaires.

    Suite à une étude l'an dernier qui a trouvé que 37 % des 133 000 sites Web de son univers avaient au moins une bibliothèque JavaScript avec une vulnérabilité connue, Snyk a analysé les 5000 URL les plus courantes et constaté que 76,6 % utilisaient une bibliothèque JavaScript avec au moins une bibliothèque vulnérable.

    Le projet, open source, a été confié par Microsoft à la JS Foundation cet été afin que la communauté puisse y participer activement. Dans le futur, Microsoft compte ajouter des options de configuration pour Sonar en mode SaaS ainsi que le proposer sous forme de plugin pour Visual Studio.

    en savoir plus sur sonar
    essayer sonar en ligne

    Source : annonce sonar, blog Snyk

    Et vous ?

    Que pensez-vous de cette initiative ?

  2. #2
    Membre éprouvé Avatar de AndMax
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mai 2017
    Messages
    236
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Mai 2017
    Messages : 236
    Points : 1 048
    Points
    1 048
    Par défaut Pourquoi ce nom ?
    Je suppose que c'est une excellente initiative, sauf le nom de l'outil, car entre Sonar Lint, Sonar Qube, Cakewalk Sonar, etc... ça commence à faire beaucoup de "Sonar" en plus de la signification initiale (SOund NAvigation and Ranging) prévue pour la détection sous l'eau.

  3. #3
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 789
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 789
    Points : 7 276
    Points
    7 276
    Par défaut
    Il y avait déjà arachnid dans backtrack 3 : si MS pouvait faciliter la portabilité de metasploit, je crois que cela pourrait ouvrir les yeux de certains. Juste visiter le site déjà serait une excellente initiative : offensive security.

  4. #4
    Membre expérimenté

    Homme Profil pro
    retraité
    Inscrit en
    Novembre 2004
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : retraité
    Secteur : Service public

    Informations forums :
    Inscription : Novembre 2004
    Messages : 389
    Points : 1 595
    Points
    1 595
    Par défaut
    Moi, ce qui m'interpelle, c'est l'allure avec laquelle Microsoft met des produits en open source depuis peu de temps.
    En quelques semaines on voit arriver sonar, winappdriver et MS-SQL !
    Quel revirement de la part de la firme de Redmont depuis l'époque où le libre était diabolisé.
    Microsoft est toujours "platinum member" de la Fondation Linux.

    Quest-ce que Microsoft nous cache comme stratégie ?
    Qu'en pensez-vous ?

  5. #5
    Membre expert
    Avatar de Chauve souris
    Homme Profil pro
    amateur (éclairé ?)
    Inscrit en
    Novembre 2005
    Messages
    1 186
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 77
    Localisation : Paraguay

    Informations professionnelles :
    Activité : amateur (éclairé ?)

    Informations forums :
    Inscription : Novembre 2005
    Messages : 1 186
    Points : 3 090
    Points
    3 090
    Par défaut
    Microsoft fait partie des rares sociétés à considérer que le verrouillage propriétaire est une chimère vu que tout se cracke aisément. Et puis ils ont changé de créneau : ils ne vendent plus du logiciel, mais du cloud.

  6. #6
    Membre expérimenté

    Homme Profil pro
    retraité
    Inscrit en
    Novembre 2004
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : retraité
    Secteur : Service public

    Informations forums :
    Inscription : Novembre 2004
    Messages : 389
    Points : 1 595
    Points
    1 595
    Par défaut
    Ben oui, mais ce n'est pas plus rassurant pour autant.
    Le cloud est-il moins crackable ? A l'abri des espionnages gouvernementaux (étrangers ou pas) ?
    Il est en tout cas soumis au phishing.

  7. #7
    Membre expert
    Avatar de Chauve souris
    Homme Profil pro
    amateur (éclairé ?)
    Inscrit en
    Novembre 2005
    Messages
    1 186
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 77
    Localisation : Paraguay

    Informations professionnelles :
    Activité : amateur (éclairé ?)

    Informations forums :
    Inscription : Novembre 2005
    Messages : 1 186
    Points : 3 090
    Points
    3 090
    Par défaut
    C'est exact, mais ça ne concerne plus Microsoft. Eux ils vendent du cloud, les ennuis (espionnage principalement) c'est pour les clients, pas pour eux (sauf si le datacenter tombe parce qu'il était mal protégé). Plus des astuces de type "as a service". Non piratables puisque non publiques (comme Office 365). On n'achète plus un logiciel on paye un abonnement.

    Tout dépendra d'Internet et du contrôle auquel tout le monde devra se soumettre, même pour les jeux (Steam, Uplay). "Bienvenue dans le pire des mondes" a écrit Natacha Polony.

    On s'achemine doucement vers la fin du PC en temps que concept (Personal Computer) : système (Windows 10), programmes (Office 365) et jeux transformeront les ordis qui ne seront plus que des terminaux comme à l'époque lointaine et qu'on croyait révolue des "mainframe".

  8. #8
    Expert éminent sénior
    Avatar de Escapetiger
    Homme Profil pro
    Administrateur système Unix - Linux
    Inscrit en
    Juillet 2012
    Messages
    1 514
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Administrateur système Unix - Linux

    Informations forums :
    Inscription : Juillet 2012
    Messages : 1 514
    Points : 11 324
    Points
    11 324
    Par défaut
    Citation Envoyé par Chauve souris Voir le message
    On s'achemine doucement vers la fin du PC en temps que concept (Personal Computer) : système (Windows 10), programmes (Office 365) et jeux transformeront les ordis qui ne seront plus que des terminaux comme à l'époque lointaine et qu'on croyait révolue des "mainframe".
    Tout à fait et c'est ce que combat médiatiquement depuis 2007 Benjamin Bayart avec sa conférence initiale « Internet libre ou Minitel 2.0 ».

    [Edit] par exemple :

    https://www.youtube.com/watch?v=HqkcCC8121Q
    Minitel 2.0 - Une contre-histoire des Internets - ARTE - YouTube

  9. #9
    Membre à l'essai
    Homme Profil pro
    Étudiant
    Inscrit en
    Octobre 2012
    Messages
    15
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cap-Vert

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Octobre 2012
    Messages : 15
    Points : 22
    Points
    22
    Par défaut
    Le nom Sonar me fait penser à un outil que j'utilise en génie logiciel pour tester la qualité de mes codes sources

  10. #10
    Membre à l'essai
    Homme Profil pro
    Étudiant
    Inscrit en
    Octobre 2012
    Messages
    15
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cap-Vert

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Octobre 2012
    Messages : 15
    Points : 22
    Points
    22
    Par défaut
    Citation Envoyé par AndMax Voir le message
    Je suppose que c'est une excellente initiative, sauf le nom de l'outil, car entre Sonar Lint, Sonar Qube, Cakewalk Sonar, etc... ça commence à faire beaucoup de "Sonar" en plus de la signification initiale (SOund NAvigation and Ranging) prévue pour la détection sous l'eau.
    Exactement, Sonar Qube est utilisé pour tester la qualité des codes source

  11. #11
    Membre expert
    Avatar de Chauve souris
    Homme Profil pro
    amateur (éclairé ?)
    Inscrit en
    Novembre 2005
    Messages
    1 186
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 77
    Localisation : Paraguay

    Informations professionnelles :
    Activité : amateur (éclairé ?)

    Informations forums :
    Inscription : Novembre 2005
    Messages : 1 186
    Points : 3 090
    Points
    3 090
    Par défaut
    Citation Envoyé par AndMax Voir le message
    Je suppose que c'est une excellente initiative, sauf le nom de l'outil, car entre Sonar Lint, Sonar Qube, Cakewalk Sonar, etc... ça commence à faire beaucoup de "Sonar" en plus de la signification initiale (SOund NAvigation and Ranging) prévue pour la détection sous l'eau.
    Sans oublier tous les çonnards qui ne manquent pas dans cette vallée de larmes

Discussions similaires

  1. Réponses: 0
    Dernier message: 02/06/2017, 02h19
  2. Réponses: 0
    Dernier message: 25/06/2010, 16h32
  3. Microsoft ouvre le format .PST et publie deux outils open-source
    Par Katleen Erna dans le forum Actualités
    Réponses: 6
    Dernier message: 02/06/2010, 12h48
  4. Réponses: 3
    Dernier message: 17/07/2009, 10h24

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo