yblatti
commented
5 months ago Rapport d'audit de sécurité livré par la société SecureMind le 13.05.2024. Les membres du Groupe utilisateurs Extract recevront prochainement l'Executive summary du rapport d'autit. Les correctifs seront réalisés pour la v2.2 (#305).
L'audit de code source comprend:
Analyse de la documentation
Analyse de toute documentation disponible afin d'identifier les vulnérabilités à la conception
L'analyse de la documentation permet de découvrir le projet et de déceler les vulnérabilités introduites dès la conception du projet
Analyse statique de sécurité:
Analyse de sécurité statique par rapport à des référentiels standard
Test statique de sécurité (SAST) pour ~50K LOCs.
L'examen semi-automatique vérifiera les points suivants :
L'analyse sera effectuée à la fois sur le front-end et le back-end.
Analyse des vulnérabilités
Analyse dynamique de sécurité (DAST) et conduite de l'évaluation semi-automatique des vulnérabilités sur une version en production:
Modélisation des menaces:
Analyse des menaces multi-niveau afin d'évaluer les risques des différents composants et mieux cibler l'examen manuel:
Audit manuel de code:
La révision sera effectuée en examinant le code et la documentation connexe à la recherche de problèmes de sécurité courants.
Cette analyse s'appuie sur la modélisation des menaces pour prioriser la revue. Elle s'attardera notamment sur :