SCA

Notions théoriques

Un outil SCA (Software Composition Analysis), en français "outil d’analyse de dépendances", est un logiciel qui examine les bibliothèques utilisées dans une application pour détecter les vulnérabilités connues de ces composants, référencées par des CVE.

info

L'outil SCA scanne automatiquement les composants de votre application pour identifier les CVE associées, vous aidant à maintenir une sécurité robuste sans avoir besoin de surveiller manuellement chaque composant.

Exemples simples

Pour comprendre le fonctionnement d'un outil d'analyse de dépendances (SCA), nous allons prendre 2 exemples simples :

• npm
• Composer

Utilisation de npm pour la gestion des dépendances d'une application Javascript

Prenons un projet simple en Node.js qui utilise la bibliothèque "express".

• Vous avez entendu dire qu'une faille a été découverte récemment.
• Avec un outil SCA, vous lancez une analyse et découvrez que la version de "express" que vous utilisez est affectée par un CVE.
• L'outil vous fournit des détails sur la vulnérabilité et des recommandations pour la corriger, comme la mise à jour vers une version plus récente de la bibliothèque.

npm audit est un outil SCA qui vous permet d'analyser un projet en Node.js et de détecter les vulnérabilités.

Utilisation de Composer pour la gestion des dépendances d'une application PHP

Dans cette séance, nous allons explorer le rôle de Composer, le gestionnaire de dépendances pour PHP.

Composer est l'outil prédilection pour gérer les bibliothèques PHP sur lesquelles se base votre projet. Il vous aide à installer, mettre à jour et gérer ces bibliothèques et leurs dépendances. Lorsque vous utilisez Composer, il crée :

• un fichier composer.json qui répertorie les packages requis
• et un fichier composer.lock qui verrouille ces dépendances à des versions spécifiques, assurant ainsi la cohérence et la stabilité de votre projet.

composer audit est un outil SCA qui vous permet d'analyser un projet en PHP et de détecter les vulnérabilités.

astuce

Utiliser la commande composer show --outdated permet de lister les dépendances qui ont des mises à jour disponibles.

Outils utilisés

Voici 2 outils professionnels utilisés dans l'industrie logicielle pour identifier les vulnérabilités dans les dépendances logicielles :

• OWASP Dependency-Check : Un outil sécurité logicielle gratuit et open-source qui aide à détecter les dépendances publiques avec des vulnérabilités connues.

• Fortify Static Code Analyzer (SCA) : Proposé par Micro Focus, cet outil offre une analyse automatisée du code source pour identifier les vulnérabilités de sécurité dans le code avant que l'application ne soit déployée.

attention

Il est important de noter que l'utilisation régulière et intégrée de ces outils dans le cycle de développement logiciel peut grandement contribuer à maintenir la sécurité des applications.

astuce

N'oubliez pas, la sécurité est un processus continu.

Test de mémorisation/compréhension

Quel est le principal objectif des outils d'analyse de dépendances (SCA) ?

Optimiser les performances des applications

Identifier les dépendances obsolètes

Détecter les vulnérabilités connues dans les composants logiciels

Automatiser le processus de développement

Que signifie l'acronyme CVE dans le contexte de la sécurité logicielle ?

Common Vulnerabilities and Exposures

Critical Virtual Exploits

Commonly Verified Exemptions

Critical Vulnerability Examination

Quel fichier Composer répertorie les packages requis pour un projet PHP ?

composer.lock

composer.json

package.json

composer.exe

Quelle est la fonction de la commande `npm audit` ?

Mettre à jour toutes les dépendances

Analyser un projet Node.js pour détecter les vulnérabilités

Supprimer les dépendances inutilisées

Installer de nouvelles dépendances

Quelle commande permet de mettre à jour une dépendance spécifique avec Composer ?

composer update package/name

composer require package/name

composer get package/name

composer install package/name

Quelle affirmation décrit le mieux le fichier `composer.lock` ?

Il contient les variables d'environnement pour Composer

Il est généré après chaque mise à jour de Composer

Il verrouille les versions des dépendances installées

Il liste les dépendances développées par l'équipe du projet

Dans quel fichier d'un projet Node.js les dépendances sont-elles déclarées ?

node_modules.json

package-lock.json

package.json

npm.json

Quel est l'objectif principal d'un outil SCA ?

Créer de nouvelles vulnérabilités

Identifier et corriger les bugs dans le code

Détecter les vulnérabilités dans les composants logiciels

Qu'est-ce qu'une dépendance dans un projet logiciel ?

Une partie du code écrite par le développeur

Un composant ou une bibliothèque externe utilisée dans le projet

Une fonctionnalité du logiciel demandée par le client

Que signifie CVE ?

Common Virtual Environment

Critical Vulnerability and Exposure

Common Vulnerabilities and Exposures

Pourquoi est-il important de mettre à jour les composants logiciels ?

Pour améliorer la performance du logiciel

Pour ajouter plus de fonctionnalités

Pour corriger les vulnérabilités et renforcer la sécurité

Un outil SCA peut-il remplacer complètement la veille de sécurité manuelle ?

Oui, car il détecte toutes les vulnérabilités

Non, car il ne détecte que les vulnérabilités connues et référencées

Non, car il ne fonctionne pas avec les composants open-source

Dans un projet PHP, quel fichier `Composer` contient la liste des packages requis pour votre projet ?

composer.lock

composer.json

packages.json

Dans un projet PHP, que fait la commande `composer update` ?

Elle supprime toutes les dépendances inutilisées

Elle met à jour toutes vos dépendances aux dernières versions compatibles

Elle réinstalle `Composer`

Pourquoi est-il important de commiter le fichier `composer.lock` dans votre système de contrôle de version ?

Pour augmenter la vitesse de votre application

Pour assurer que tous les développeurs travaillent avec les mêmes versions de dépendances

Pour empêcher d'autres développeurs de changer les dépendances

Quelle commande utiliseriez-vous pour ajouter une nouvelle bibliothèque à votre projet PHP avec `Composer` ?

composer get

composer add

composer require

---

TP pour réfléchir et résoudre des problèmes

Objectif : Utiliser un outil SCA pour analyser un projet que vous avez réalisé en début de 1ère année et identifier les vulnérabilités potentielles.

Instructions :

1. Installez OWASP Dependency-Check.

info

OWASP Dependency-Check nécessite Java.

Si Java n'est pas installé dans votre ordinateur, il suffit de :

• télécharger le programme d'installation sur le site https://www.java.com/fr/download/manual.jsp

  

  Choisir la version 64 bits.

• installer le JRE

  

• Sur le site https://owasp.org/www-project-dependency-check/, cliquez sur Command Line pour télécharger le fichier dependency-check-x.y.z-release.zip

• Dézippez le fichier dependency-check-x.y.z-release.zip

• Ouvrez une Invite de commmandes dans le dossier dependency-check-x.y.z-release\dependency-check\bin\

2. Exécutez l'outil SCA pour analyser les dépendances de votre projet.

Exemple :

dependency-check.bat -s C:\Users\bouquet\Documents\DEV\php\Atedi

3. Examinez le rapport généré pour identifier toute vulnérabilité connue.