|
SCALe ou la mise en conformité des systèmes aux standards CERT de sécurité
Par Rédaction,
secuobs.com
Le 24/05/2012
Résumé : Le programme CERT publie un rapport relatif à la présentation des différentes étapes de SCALe (Source Code Analysis Laboratory), une preuve de concept se destinant à la mise en conformité des systèmes logiciels vis-à-vis des standards CERT de sécurité en matière de programmation. - Lire l'article
SCALe (Source Code Analysis Laboratory) est une preuve de concept du CERT visant à démontrer sa capacité à tester avec succès la conformité d'un système vis-à-vis des standards CERT de sécurité pour les langages de programmation les plus usuels. Ces standards offrant une énumération détaillée des erreurs les plus communes qui résultent habituellement en des vulnérabilités exploitables.
Depuis l'institut d'ingénierie logicielle de l'université Carnegie Mellon, le programme CERT se propose donc d'analyser un code source fourni afin de générer un rapport détaillé permettant à ses développeurs de fixer le code audité en fonction des résultats. Un second test étant ensuite effectué avant l'octroi d'un certificat de conformité qui détaille l'issue finale pour chaque règle utilisée.
SCALe opère par l'intermédiaire de multiples techniques d'analyse incluant aussi bien l'utilisation d'analyseurs statiques que dynamiques de code, des outils de Fuzzing. Bien entendu, il ne teste pas pour autant les vulnérabilités ne relevant pas du code en lui-même. Les vulnérabilités relatives au design, à la portabilité et à l'environnement opérationnel ne sont donc pas supportées.
Les tests étant en effet réalisés dans un contexte bien particulier d'implémentation incluant un environnement unique d'exécution donné et un ensemble fixe de logiciels utilisés. Le certificat délivré n'impliquant en aucune manière une utilisation totalement sûre. Bien qu'aucune étude ne le confirme, la logique voudrait néanmoins qu'il représente un gage plus important de sécurité.
Les différentes étapes des tests de mise en conformité avec SCALe :
Le rapport « Source Code Analysis Laboratory (SCALe) » en PDF ( lien )
« CERT Secure Coding Standards » ( lien )
Source :
« Source Code Analysis Laboratory (SCALe) » sur Superconductor Voltage Security via Security Bloggers Network ( lien )
- Article suivant : Rproxy, un reverse proxy traitant 6 000 transactions SSL à la seconde avec un Intel i7 quad-core
- Article précédent : Thug, le Honeypot Client Web modulaire à faibles interactions du projet Honeynet
- Article suivant dans la catégorie Acteurs : AppGate MOVE, une clé USB flashable et bootable ajoute le BYOL à AppGate Security Server
- Article précédent dans la catégorie Acteurs : ThreatMetrix lutte contre les fraudes transactionnelles à l'aide de données anonymes
Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
Mini-Tagwall de l'annuaire video : | | | | curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|