Notre méthodologie d'audit de code source

L'audit de code source se déroule de la manière suivante :
  1. Une première étude permet de définir l'architecture du code audité et d'en relever les portions critiques
  2. Une analyse automatisée est menée sur l'ensemble du code afin de faire remonter les problèmes de sécurité les plus évidents
  3. Une analyse manuelle est réalisée sur les portions critiques précédements établies (exemples : authentification, accès données sensibles, actions d'administration).
  4. Dans le cas où le code fournis est fonctionnel, une analyse dynamique est effectuée. Elle permet de tester la robustesse de l'application en envoyant des données qui ne sont pas prévues par les fonctions.
  5. Chaque faiblesse découverte fait l'objet d'une recommandation spécifique au code fournis avec un exemple de mise en oeuvre.
LANGAGES AUDITÉS
  • PHP
  • Python
  • Java
  • JavaScript
  • Ruby
  • Perl
  • ASP / ASP.NET
  • C / C++
  • Kotlin
  • Objective-C / Swift
  • Shell / PowerShell
  • SQL
POINTS PRINCIPAUX AUDITÉS
  • Analyse globale de l'architecture et des composants critiques
  • Revue manuelle des composants critiques
  • Analyse des points d'entrées et injections de contenu par l'utilisateur
  • Robustesse de l'authentification, de la gestion des sessions et des permissions
  • Étude du stockage des mots de passe et robustesse du mécanisme cryptographique utilisé
  • Étude de la configuration
  • Recherche de portes dérobées et code non exposé à l'utilisateur
  • Analyse du stockage et de l'accès aux données sensibles
  • Vérification de la présence d'un mécanisme de journalisation fonctionnel

MÉTHODOLOGIE UTILISÉE