sonarqube et la sécurité
DESCRIPTION
SlideDeck on SonarQube and security at OWASP France MeetingTRANSCRIPT
OWASP France Meeting 11 Septembre 2014
Mozilla Paris Sébas&en Gioria [email protected] Chapter Leader & Evangelist OWASP France
SonarQube et la Sécurité
2
http://www.google.fr/#q=sebastien gioria
‣ OWASP France Leader & Founder & Evangelist, ‣ OWASP ISO Project & OWASP SonarQube Project Leader
‣ Innovation and Technology @Advens && Application Security Expert
Twitter :@SPoint/@OWASP_France
2
‣ Application Security group leader for the CLUSIF
‣ Proud father of youngs kids trying to hack my digital life.
Agenda
• L’analyse de code source • SonarQube
• Le projet OWASP SonarQube
3
L’analyse de code source résumée
L’analyse de code source
• Iden5fier toutes les occurrences d’une faille
• Évaluer des facteurs contribuant à la sécurité
• Étudier l’applica5on dans le détail
• Détecter les erreurs d’implémenta5on sournoises
Analyse du code vs Test d’intrusion applica5f
Top10 Web Tests d’intrusion Analyse du code A1 -‐ Injec5on ++ +++
A2 – Viola5on de Session / Authen5fica5on
++ +
A3 – Cross Site Scrip5ng +++ +++ A4 – Référence Directes + +++
A5 – Mauvaise configura5on + ++ A6 – Exposi5on de données ++ + A7 – Probleme d’habilita5on
fonc5onnelle + +
A8 -‐ CSRF ++ + A9 – U5lisa5on de Composants
vulnérables +++
A10 – Redirec5on et transferts + +
7 axes pour couvrir la qualité d’un code
Code Source
Architecture et Concep5on
Code dupliqué
Test unitaires
Complexité Bugs
Règle de codage
Commentaires
• Bugs • Non respect des standards de codage
• Duplica5on de code • Manque de tests unitaires
• Code trop complexe • Concep5on spagheg • Trop ou pas assez de code commenté.
SonarQube
• Plateforme centralisé de ges5on de la qualité : – Profils de qualité – Intégrable dans la chaine de build – Support de nombreux languages (C/C++, java, php, javascript, ...)
– Plugins/extensions disponibles – Ges5on de rapports et visualisa5on de l’évolu5on – Existe en version Open-‐Source
Démo
SonarQube pour la sécurité applica5ve
• S’intègre dans le SDLC – liens possible avec Jenkins/Hudson – Repor5ng sur les viola5ons – Possibilité d’ajouter des règles
• Dispose de règles permeoant de couvrir – non respect des regles de codage – découverte de bugs sécurité(XSS, SQl-‐Injec5on)
SonarQube pour la sécurité applica5ve
• Ce n’est pas un ou5l de revue de code ! – Il fonc5onne sur la viola5on de règles; détec5on de paoerns uniquement
• Il 5re toute sa puissance – si vous disposez d’une poli5que de Secure Coding – si vous démarrer un nouveau projet
• Il n’est pas “tres” orienté sécurité actuellement – peu de plugins de sécurité – pas de profils type pour les viola5ons de secure coding.
Le projet OWASP SonarQube
• Collabora5on OWASP / SonarSource – Meore a disposi5on de la communauté un ensemble de règles, profils,
et plugins pour analyser la sécurité avec SonarQube.
• Plusieurs buts prévus – Livraison d’un profil OWASP Top10 supporté et maintenu par le projet
début Octobre 2014 vis a vis du langage Java. – Livraison d’autres profils (probablement en 2015):
• ASVS • ISO 27034-‐5 • CERT Secure Coding
– Développement de plugins spécifiques OWASP • pour les autres langages
Prochaines Dates
• OWASP AppSecUSA 2014 – Denver Colorado – 16 au 19 Septembre 2014 – hop://2014.appsecusa.org/2014/
• Club 27001 /Paris -‐ 25 Septembre 2014 – Présenta5on de la norme ISO 27034
• Applica5on Security Forum Western Switzerland – Yverdon les Bains – 4 au 6 Novembre 2014
– hop://www.appsec-‐forum.ch/
• CLUSIR InfoNord – 16 Décembre 2014 – Le paradigme de la sécurité des objets connectés; Présenta5on de l’OWASP Top10 IoT
• OWASP AppSec EU 2015 – Amsterdam 18 au 21 Mai 2015
13
Soutenir l’OWASP
• Différentes solu5ons : – Membre Individuel : 50 $ – Membre Entreprise : 5000 $ – Dona5on Libre
• Soutenir uniquement le chapitre France : – Single Mee5ng supporter
• Nous offrir une salle de mee5ng ! • Par5ciper par un talk ou autre ! • Dona5on simple
– Local Chapter supporter : • Nous contacter
14