Loading...La sécurité représente un élément important pour la sante globale du projet. Dans cet esprit nous allons démarrer une initiative de formations spécialisées pour les développeurs, en suivant les idées de la sécurité agile.
Tout au long d`une journée nous contesterons la perception que les développeurs ont sur les problèmes de sécurité.
Les sujets sont divers et complexes mais critiques pour le travail quotidien des professionnels.
Plan de formation
| Catégorie | Éléments | |||
|---|---|---|---|---|
| Pourquoi la sécurité ? | L’importance de la sécurité La sécurité dans les projets Agiles Rôles des développeurs Des cas d’utilisation de failles de sécurité |
|||
| Concepts de sécurité | Réduction de la surface d’attaque La défense en profondeur Principe du moindre privilège Valeurs par défaut sécurisées Intimité |
|||
| Modélisation des menaces | Modelé de menaces Création de diagrammes Énumération des menaces Mesures d’atténuation Validation |
|||
| Codage sécurisé | Cryptographie Fuite d’informations API interdites Erreurs arithmétiques entières Injection sql Détournement de session Déni de service XSS CSFR Clickjacking/Cursorjacking Injection du modèle Open redirect |
|||
| Test de sécurité | Tests fuzz Tests de pénétration Vérification de l’exécution Revue du code Outils d’automatisation La sécurité et BDD |
Beaucoup d’attaques présentées dans le chapitre « Codage sécurisé » sont soutenues par des exemples pour que les développeurs voient directement les problèmes et les contre-mesures nécessaires. C’est plutôt valable pour les attaques web qui sont difficiles a identifier à cause de la multitude des acteurs impliques: le serveur web, l’application web avec sa plate-forme, le navigateur. Le navigateur est un vecteur d’attaques très puissant mais dans la plupart des cas complètement ignoré.
Cet article a été rédigé par Irinel Matei, ex expert .Net Pentalog
