Évaluez la sécurité de votre application via l’audit de code
L’audit de code a pour but de rechercher des vulnérabilités dans le code source d’une application.
Ces vulnérabilités peuvent être de plusieurs types : erreurs de conception ou erreurs de développement.
Les problèmes de conception peuvent résulter de problèmes de gestion de session dans les applications web, permettant à un attaquant de voler la session ou l’identité d’un utilisateur.
Les problèmes de développement peuvent résulter de problèmes de traitement des données en entrée dans les applications web, permettant l’exécution de codes aux niveaux des bases de données ou des systèmes d’exploitation des serveurs.
Via son audit de code, ITrust analyse la façon dont l’application a été conçue et la façon dont le code a été développé. La méthode principale est la lecture manuelle de code. En suivant les flux de données dans le programme, les fonctions de traitement sont analysées pour évaluer leur adéquation au niveau de confiance des données traitées en entrée et en sortie.
Des applications open source d’analyse statique de code peuvent être utilisées pour trouver les erreurs les plus communes telles que des débordements de tampons, des chaînes de formats, des « time of check/time of use », etc. Dans tous les cas, une analyse manuelle est nécessaire pour éliminer les faux positifs.
Dans le but d’être le plus exhaustif possible sur les différents types de vulnérabilités, ITrust utilise différents référentiels dont les deux principaux suivants :
- Secure Programming for Linux and Unix HOWTO : Creating Secure Software
- OWASP Top Ten Project
Dans la mesure du possible, la gravité de la faille est évaluée, allant de « non exploitable » à « prise de contrôle total du serveur » ou « vol des informations confidentielles ».
