SonarQube et la Sécurité

OWASP France Meeting  11  Septembre  2014  

Mozilla  Paris    Sébas&en  Gioria  [email protected]  Chapter  Leader  &  Evangelist  OWASP  France  

SonarQube  et  la  Sécurité  

2

http://www.google.fr/#q=sebastien gioria

‣ OWASP France Leader & Founder & Evangelist, ‣ OWASP ISO Project & OWASP SonarQube Project Leader

‣ Innovation and Technology @Advens && Application Security Expert

Twitter :@SPoint/@OWASP_France

2  

‣ Application Security group leader for the CLUSIF

‣ Proud father of youngs kids trying to hack my digital life.

Agenda  

•  L’analyse  de  code  source  •  SonarQube  

•  Le  projet  OWASP  SonarQube  

3  

L’analyse  de  code  source  résumée  

L’analyse  de  code  source  

•  Iden5fier  toutes  les  occurrences  d’une  faille  

•  Évaluer  des  facteurs  contribuant  à  la  sécurité    

•  Étudier  l’applica5on  dans  le  détail    

•  Détecter  les  erreurs  d’implémenta5on  sournoises  

Analyse  du  code  vs  Test  d’intrusion  applica5f  

Top10  Web   Tests  d’intrusion   Analyse  du  code  A1  -­‐  Injec5on   ++   +++  

A2  –  Viola5on  de  Session  /  Authen5fica5on    

++   +  

A3  –  Cross  Site  Scrip5ng     +++   +++  A4  –  Référence  Directes     +   +++  

A5  –  Mauvaise  configura5on         +   ++  A6  –  Exposi5on  de  données     ++   +  A7  –  Probleme  d’habilita5on  

fonc5onnelle    +   +  

A8  -­‐  CSRF     ++   +  A9  –  U5lisa5on  de  Composants  

vulnérables  +++  

A10  –  Redirec5on  et  transferts     +   +  

7  axes  pour  couvrir  la  qualité  d’un  code  

Code  Source  

Architecture  et  Concep5on  

Code  dupliqué  

Test  unitaires  

Complexité  Bugs  

Règle  de  codage  

Commentaires  

•  Bugs    •  Non  respect  des  standards  de  codage  

•  Duplica5on  de  code  •  Manque  de  tests  unitaires  

•  Code  trop  complexe  •  Concep5on  spagheg  •  Trop  ou  pas  assez  de  code  commenté.  

SonarQube  

•  Plateforme  centralisé  de  ges5on  de  la  qualité  :    – Profils  de  qualité  –  Intégrable  dans  la  chaine  de  build  – Support  de  nombreux  languages  (C/C++,  java,  php,  javascript,  ...)  

– Plugins/extensions  disponibles  – Ges5on  de  rapports  et  visualisa5on  de  l’évolu5on  – Existe  en  version  Open-­‐Source  

Démo  

SonarQube  pour  la  sécurité  applica5ve  

•  S’intègre  dans  le  SDLC  –  liens  possible  avec  Jenkins/Hudson  – Repor5ng  sur  les  viola5ons  – Possibilité  d’ajouter  des  règles  

•  Dispose  de  règles  permeoant  de  couvrir  – non  respect  des  regles  de  codage  – découverte  de  bugs  sécurité(XSS,  SQl-­‐Injec5on)  

SonarQube  pour  la  sécurité  applica5ve  

•  Ce  n’est  pas  un  ou5l  de  revue  de  code  !  –  Il  fonc5onne  sur  la  viola5on  de  règles;  détec5on  de  paoerns  uniquement  

•  Il    5re  toute  sa  puissance    – si  vous  disposez  d’une  poli5que  de  Secure  Coding  – si  vous  démarrer  un  nouveau  projet  

•  Il  n’est  pas  “tres”  orienté  sécurité  actuellement  – peu  de  plugins  de  sécurité  – pas  de  profils  type  pour  les  viola5ons  de  secure  coding.  

Le  projet  OWASP  SonarQube  

•  Collabora5on  OWASP  /  SonarSource  –  Meore  a  disposi5on  de  la  communauté  un  ensemble  de  règles,  profils,  

et  plugins  pour  analyser  la  sécurité  avec  SonarQube.  

•  Plusieurs  buts  prévus  –  Livraison  d’un  profil  OWASP  Top10  supporté  et  maintenu  par  le  projet  

début  Octobre  2014  vis  a  vis  du  langage  Java.  –  Livraison  d’autres  profils  (probablement  en  2015):  

•  ASVS  •  ISO  27034-­‐5  •  CERT  Secure  Coding    

–  Développement  de  plugins  spécifiques  OWASP  •  pour  les  autres  langages  

Prochaines  Dates  

•  OWASP  AppSecUSA  2014  –  Denver  Colorado  –  16  au  19  Septembre  2014  –  hop://2014.appsecusa.org/2014/  

•  Club  27001  /Paris  -­‐  25  Septembre  2014  –  Présenta5on  de  la  norme  ISO  27034  

•  Applica5on  Security  Forum  Western  Switzerland  –  Yverdon  les  Bains  –  4  au  6  Novembre  2014  

–  hop://www.appsec-­‐forum.ch/  

•  CLUSIR  InfoNord  –  16  Décembre  2014    –  Le  paradigme  de  la  sécurité  des  objets  connectés;  Présenta5on  de  l’OWASP  Top10  IoT    

•  OWASP  AppSec  EU  2015  –  Amsterdam  18  au  21  Mai  2015  

13  

Soutenir  l’OWASP  

•  Différentes  solu5ons  :    – Membre  Individuel  :  50  $  – Membre  Entreprise  :  5000  $  – Dona5on  Libre  

•  Soutenir  uniquement    le  chapitre  France  :  – Single  Mee5ng  supporter    

•  Nous  offrir  une  salle  de  mee5ng  !    •  Par5ciper  par  un  talk  ou  autre  !    •  Dona5on  simple    

– Local  Chapter  supporter  :    •  Nous  contacter  

14  

License  

15  

@SPoint    [email protected]