Simon Pruneau posts

Efficace et pas cher, c’est le SAST que je préfère !

Dans le domaine des outils de sécurité applicative, notamment depuis l’arrivée du "shift security left" et du DevOps, plusieurs acronymes reviennent régulièrement : SAST (Static Application Security Testing) ; DAST (Dynamic Application Security Testing) ; RASP (Run-time Application Security Protection) ; ou encore SCA (Software Composition Analysis). Parmi ces outils, certains s’exécutent directement sur le code source (SAST, SCA), tandis que d’autres nécessitent qu'il soit exécuté (DAST) ou même de s’intégrer au code de l’application (RASP). Nous allons nous intéresser tout particulièrement au SAST. Si…

Read more
Android

Détectez les pisteurs sur Android avec exodus-standalone

Des bibliothèques tierces appelées pisteurs sont souvent présentes dans les applications mobiles, parfois au dépit des législations en vigueur, de la sécurité de ces applications ou des droits des personnes les utilisant. Voyons ensemble ces problématiques plus en détails et comment s’en prémunir, en particulier sur Android. Qu’est-ce qu’un pisteur et quels problèmes posent-ils ? “Pisteur”, “traceur”, “traqueur”, plusieurs termes peuvent être utilisés pour parler de la même chose. Commençons par définir ce que nous allons appeler un pisteur dans le reste de cet article.…

Read more
devops

Panorama des outils de sécurité autour des conteneurs

Les conteneurs sont devenus la nouvelle norme quant au packaging d’application logicielle. Il existe deux façons complémentaires de minimiser les risques de sécurité d’une image : par la revue du Dockerfile qui définit cette image, afin de vérifier que l’on n’introduit pas de faille de sécurité lors de la conception de l’image. Cela se traduit généralement par une analyse syntaxique qui va permettre de vérifier que la définition de l'image respecte certains principes (l'image ne tourne pas en user root par exemple). Dans la littérature,…

Read more
Sécurité

Passbolt, une solution pour gérer les secrets au sein de votre équipe

Mot de passe

La question des mots de passe est un sujet sensible. Pour les mots de passe personnels, l’utilisation d’un gestionnaire de mots de passe est largement recommandée. En revanche, il est parfois nécessaire de partager certains secrets et mots de passe (clés d’API, comptes génériques, etc.) au sein d’une même équipe (qu'elle soit réduite ou non). La gestion de ces mots de passe en est souvent rendue plus compliquée. Cet article a pour objectif de présenter notre recherche d’un outil de gestion de mots de passe…

Read more