Scribd
Importer
119 vues10 pages

Audit de Code : Avantages et Utilisations

Le document décrit le principe de l'audit de code, ses avantages et inconvénients, et ses utilisations. L'audit de code permet de détecter les vulnérabilités et défauts dans le code source sans l'exécuter.

Transféré par

mbaye ndoye diallo
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
119 vues10 pages

Audit de Code : Avantages et Utilisations

Le document décrit le principe de l'audit de code, ses avantages et inconvénients, et ses utilisations. L'audit de code permet de détecter les vulnérabilités et défauts dans le code source sans l'exécuter.

Transféré par

mbaye ndoye diallo
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Audit de code

ECOLE
ECOLE IT
IT –– 5SOA
5SOA -- Année
Année Académique
Académique 2023-2024
2023-2024 –– ©
© Tous
Tous droits
droits réservés
réservés
Résumé
• Principe
• Avantages vs Inconvénients
• Utilisations

ECOLE IT – 5SOA - Année Académique 2023-2024 – © Tous droits réservés


Audit de code
Principe

ECOLE IT – 5SOA- Année Académique 2023-2024 – © Tous droits réservés


Principe
L'analyse du code source est le processus consistant à détecter :

Les mauvaises habitudes de codage,

Les vulnérabilités potentielles ;

Les défauts de sécurité dans le code source d'un logiciel… sans pour autant exécuter
ces derniers ;

L’analyse de code ne remplace pas un audit de sécurité : elle est complémentaire !

SAST :
• Analyse du code

• Analyse de dépendances

DAST :
• Analyse à l’exécution

ECOLE IT – 5SOA - Année Académique 2023-2024 – © Tous droits réservés


Audit de code
Avantages vs Inconvénients

ECOLE IT – 5SOA- Année Académique 2023-2024 – © Tous droits réservés


Avantages vs Inconvénients

On lance des scans sur le code source ou les artefacts à la


recherche de vulnérabilités

Avantages Inconvénients

 Très facilement automatisable  Analyse complémentaire


 nécessaire
Très simple d’utilisation
 Dépendance aux frameworks /
 Actionnable dès le début du
langages / moteur de template
développement
utilisés
 Pas besoin d’un environnement
 Ne couvre pas la logique métier
d’exécution de l’application
  Ne remonte pas les vulnérabilités
Potentielle exhaustivité sur
runtime
certaines catégories de
vulnérabilités
 Aide à la correction

ECOLE IT – 5SOA - Année Académique 2023-2024 – © Tous droits réservés


Audit de code
Utilisations

ECOLE IT – 5SOA- Année Académique 2023-2024 – © Tous droits réservés


Utilisations
La fréquence d’utilisation va beaucoup dépendre du rythme de développement :


Pas nécessairement à chaque commit ;

Au moins à chaque version candidate à la production ;

Souvent à chaque intégration d’une évolution (une évolution peut apporter des failles...).

Les objectifs premiers sont :



Avoir une vue de la dette sécurité ;

Prioriser les efforts de remédiation de la dette ;

S’assurer de la qualité des nouveaux développements.

Un rapport d’audit de code est utile à condition :



Connaissance requise des failles classiques et de leurs corrections ;

Marquage des faux positifs.
ECOLE IT – 5SOA - Année Académique 2023-2024 – © Tous droits réservés
A vous de jouer

Mise en pratique : audit de code

ECOLE IT – 5SOA - Année Académique 2023-2024 – © Tous droits réservés


Avenue Alan Turing - 59410 Anzin – France
+33 3 74 01 09 84 - [email protected]

www.ecole-it.com

ECOLE IT – 5SOA - Année Académique 2023-2024 – © Tous droits réservés

Vous aimerez peut-être aussi