mardi 30 juillet 2013

Automatiser les tests sécurité lors de la phase de dévelopement

Lors de Confoo 2013, j'ai effectué une présentation permettant de montrer qu'a l'aide de quelques outils simples :



et open source (ou presque), il était possible de facilement automatiser sa phase de tests sécurité. On ne parle ici que des tests de type Tests de vulnérabilités, on ne parle pas du coté revue de code source ;pour la simple bonne raison qu'il n'y a pas réellement d'outils open-source assez avancés a mon sens pour couvrir le sujet (si vous pensez le contraire, je veux bien des pointeurs)

L'équipe de Mozilla, a publié récemment un nouvel outil (Minion) intégrant d'autres outils de sécurité (dont OWASP Zap Proxy ), permettant aussi d'aller plus loin.

Ce que je trouve dommage dans cet approche, c'est qu'une fois encore la sécurité n'est pas prise en compte comme un élément standard de la phase de développement. En effet, la majorité des gros projets de développement sont presque tous dans un principe d'intégration continue et de build régulier. Or Une fois encore, l'outil se démarque comme un outil externe, disposant de sa propre manière de configuration etc...etc.. Au lieu directement de fournir un outil allant s'intégrer avec Jenkins et les outils classiques de bugtracker.

Néanmoins, l'approche est tout aussi intéressante, et je vous encourage a regarder comment l'intégrer dans vos différents cycles/Outils (voir d'écrire un plugins Jenkins ;)


Aucun commentaire:

Publier un commentaire

//Activation syntaxhilight