L’analyse statique de nouvelle génération pour la sécurité des applications web

Par:
fredericmazue

ven, 15/06/2012 - 12:24

Coverity présente de nouvelles innovations dans les technologies d’analyse statique permettant aux équipes de développement de traiter efficacement les défauts de sécurité dans les applications web Java.

Coverity étend le spectre de l’analyse statique afin d’englober aussi bien le code source que l’architecture des applications web modernes. L’objectif est d’apporter aux développeurs une plus grande précision au niveau des informations fournies et des suggestions de résolutions des problèmes, afin de les aider à identifier et corriger les défauts de sécurité pouvant être à l’origine des vulnérabilités les plus communément exploitées telles que l’injection SQL et le scripting cross-site (XSS). Conçue pour analyser les applications web du point de vue du développeur, la nouvelle technologie Coverity répond à la complexité des applications web modernes et permet au développeur de s’appuyer sur le test statique de sécurité en lieu et place des outils de première génération, dont les analyses incomplètes et superficielles ne correspondent plus aux besoins en termes de qualité et d’intégrité des logiciels.

Les innovations apportées à la technologie d’analyse statique de Coverity sont les permettent de :

· Renforcer l’analyse statique du code source avec un analyseur de frameworks qui réduit les imprécisions lorsque les données transitent par les frameworks applicatifs, réduisant ainsi les faux positifs.

· Valider automatiquement que les routines de nettoyage des données effectuent une désinfection suffisante des données suspectes et sont utilisées dans le contexte correct, grâce à un « White Box Fuzzer » incorporé à l’analyse statique.

· S’appuyer sur des suggestions de traitement détaillées pour chaque défaut détecté, afin de garantir que les développeurs comprennent comment corriger les défauts de sécurité correctement et efficacement.

« Permettre aux développeurs de corriger les défauts de sécurité requiert bien plus que simplement intégrer l’analyse statique dans un IDE. Les développeurs ont besoin de valider que les défauts détectés sont bien réels, et ils ont besoin de comprendre comment corriger ces défauts dans le code », commente Andy Chou, cofondateur et CTO de Coverity. « Les outils d’analyse statique de première génération ne sont pas efficaces en ne permettant pas de délivrer ce niveau d’information de manière fiable et crédible. Nous facilitons la mission des développeurs en leur permettant d’identifier et de corriger les défauts de sécurité. »

« Nous parlons le même langage que les développeurs. Le développement applicatif fait partie de notre ADN », souligne Anthony Bettencourt, CEO de Coverity. « Nous sommes reconnus comme le leader du marché de l’analyse statique pour la qualité et la sécurité des logiciels embarqués, et nous fournissons aux développeurs des technologies éprouvées depuis plus de dix ans. Appliquer cette expertise au marché de la sécurité des applications web est une extension naturelle de notre stratégie de test de développement. Avec 75% des attaques de sécurité ayant lieu au niveau de l’application, c’est le développement qui est le garant du traitement des problèmes de sécurité. Cette innovation va transformer la manière dont les équipes de développement et de sécurité travaillent ensemble pour dorénavant gérer la sécurité. »

La nouvelle technologie de Coverity sera disponible à partir de septembre 2012 et intégrée à la plateforme de Test de Développement de Coverity. Coverity propose un pré-programme incluant une évaluation gratuite de la sécurité des applications. Les entreprises souhaitant profiter de ce pré-programme peuvent s’inscrire ici.