Audit de code source

Ce type d’audit de sécurité  repose sur une analyse exhaustive du code source de l’application. Cette prestation permet d’obtenir une couverture plus importante que lors d’un audit dit « en boite noire »

Les audits de code source peuvent être réalisés de plusieurs manières, et c’est bien souvent une combinaison entre ces différentes méthodes qui donne les meilleurs résultats :

• Analyse statique : Méthodes qui permettent, à partir du code source, d’évaluer le comportement d’une application, sans pour autant l’exécuter. Elles se basent sur l’utilisation d’un outil automatisé, mais s’appuient sur une intervention humaine afin de qualifier la véracité et la criticité des bugs.

• Analyse manuelle : Méthode réalisée par un humain dont la limite est le nombre de lignes de code audité (1000 et 2000 /jour) en fonction du langage et de la complexité du programme. Réservée aux parties sensibles ou liées au « business logic ».

Lorsqu’un programme est volumineux, il est souvent plus intéressant d’utiliser une combinaison d’audit manuel et d’analyse statique. Cela permet de tirer parti du meilleur de chacune des méthodes et d’analyser manuellement ainsi que de façon « statique » les parties du code les plus susceptibles de contenir des vulnérabilités. 

En matière d’analyse statique, nous sommes les partenaires exclusifs en France de la société Amorize, distributrice du logiciel CodeSecure, reconnu comme le meilleur logiciel d’analyse statique, en ce qui concerne les technologies web (notamment PHP). Cela permet d’effectuer des tests avec une forte exhaustivité sur des logiciels volumineux, et cela dans des délais biens moindres.

N’hésitez pas à joindre notre équipe commerciale en remplissant un formulaire de contact.