JumpStart Security Code Review

Identification des sources de risques pour les applications

Etapes suivantes :

Overview

Les capacités de Foundstone en matière d'évaluations de la sécurité du code source sont renforcées par l'expérience de nos consultants en sécurité des logiciels et des applications (SASS, Software and Application Security Service), qui ont réalisé des audits de code source pour de nombreuses applications clientes ainsi que pour leurs propres logiciels. Nos consultants SASS ont participé à titre professionnel au développement de divers systèmes logiciels d'entreprise commerciaux : ils maîtrisent donc parfaitement le processus de développement de logiciels et savent pourquoi et de quelle manière les bogues de sécurité sont introduits. Conjuguée à des outils automatisés évolués utilisant l'analyse contextuelle, notre expérience nous permet d'analyser une plus grande quantité de code de façon plus rapide, plus précise et plus efficace que toute autre entreprise de services-conseils en sécurité.

L'étude JumpStart Security Code Review de Foundstone consiste en une évaluation ciblée qui associe une analyse automatisée du code à des examens manuels. Employés seuls, les outils automatisés ne sont pas suffisamment efficaces pour détecter les défauts au niveau de l'architecture, sans compter qu'ils génèrent un grand nombre de faux positifs. Les consultants SAAS chevronnés de Foundstone comblent ces lacunes en fournissant à votre équipe des résultats précis et pertinents que vous pouvez exploiter pour améliorer immédiatement la sécurité de votre application.

Principaux avantages

Les consultants de l'équipe Software and Application Security Services (SAAS) de Foundstone possèdent des compétences pointues en matière de sécurité logicielle, nées de leur expérience professionnelle au sein d'entreprises de développement de logiciels professionnels. Ils ont réalisé des audits de code source pour de nombreuses applications clientes ainsi que pour leurs propres logiciels. Ayant participé au développement de divers systèmes logiciels d'entreprise commerciaux, ils maîtrisent le processus de développement de logiciels et savent pourquoi et de quelle manière les bogues de sécurité sont introduits. Les recommandations qu'ils proposent tiennent compte non seulement de la section spécifique du code où le problème a été décelé, mais aussi de la base de code étendue qui doit interagir avec cette section.

Plus important encore sans doute, parce qu'ils ont subi eux-mêmes les pressions associées au développement de logiciels commerciaux que connaît probablement votre équipe, nos consultants sont remarquablement bien armés pour formuler des recommandations pratiques adaptées à la réalité du terrain, plutôt que purement théoriques. En s'appuyant sur des techniques d'examen manuel du code et sur l'analyse contextuelle combinées à des outils automatisés sophistiqués, nos experts sont en mesure d'analyser une plus grande quantité de code, de façon plus précise et plus efficace.

En outre, l'examen du code réalisé par Foundstone vous aide à respecter les exigences de la norme PCI DSS 6.6. Les consultants en sécurité logicielle chevronnés de Foundstone fournissent à votre équipe des résultats précis et pertinents que vous pouvez exploiter pour renforcer immédiatement la sécurité de votre application et assurer votre conformité aux exigences PCI.

Methodology

L'évaluation réalisée par Foundstone se base sur notre méthodologie éprouvée :

  • Analyse de l'architecture de base et examen rapide du code. Cette étape est accomplie sur site en collaboration avec des intervenants clés de l'équipe de développement. Au cours de la session, Foundstone identifie les défauts dans l'architecture, accède au code source et l'examine globalement en vue des phases ultérieures.
  • En fonction de la taille et de la complexité de la base de code, Foundstone procède ensuite à des examens du code ciblés respectant des échéances strictes. Des analyses statiques sont effectuées au moyen d'analyseurs de code commerciaux, en code source libre et développés en interne par Foundstone. Les résultats de ces analyses sont vérifiés afin d'éliminer les faux positifs. La dernière étape consiste en une analyse visant à identifier les principaux domaines de risque pour l'application.
  • Foundstone présente le rapport issu des outils automatisés ainsi qu'un rapport de synthèse qui offre au client les informations dont il a besoin pour prendre des décisions avisées en matière de réduction du risque.

Les éléments fournis dans le cadre de notre étude JumpStart Security Code Review sont les suivants :

  • Un rapport technique basé sur les résultats des analyses automatisées réalisées au moyen des outils décrits plus haut.
  • Un rapport de synthèse qui expose les résultats du rapport technique ainsi que les défauts liés à l'architecture, les problèmes systémiques et les principales sources de risque pour l'application identifiées par les consultants de Foundstone. Les sources de risque sont variées et peuvent être liées à des personnes, à des processus ou à des problèmes technologiques.
  • Une présentation synthétique comprenant des recommandations destinées à réduire les risques et des propositions concernant les mesures à prendre. Foundstone peut collaborer avec le client pour faire en sorte que cette présentation soit adaptée au public visé.