La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

22 Fun with Fuzzing : les outils SDL SEC306 Eric Vernié Division Plateforme et Ecosystème Microsoft France Eric Mittelette Division.

Publié parIréné Dumoulin Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "22 Fun with Fuzzing : les outils SDL SEC306 Eric Vernié Division Plateforme et Ecosystème Microsoft France Eric Mittelette Division."— Transcription de la présentation:

1

2 22 Fun with Fuzzing : les outils SDL SEC306 Eric Vernié Division Plateforme et Ecosystème Microsoft France ericv@microsoft.com Eric Mittelette Division Plateforme et Ecosystème Microsoft France ericmitt@microsoft.com

3 33 SDL Approche

4 44 SDL En bref

5 55 Illustration Microsoft Security Development Lifecycle (SDL)

6 66 Efficacité de SDL Quelques chiffres 94 % des vulnérabilités ciblées au niveau de la couche application SDL produit des améliorations de sécurité mesurables pour Microsoft Réduction des failles de sécurité de 91% dans SQL Server Réduction des failles de sécurité de 45% dans Windows Réduction des failles de sécurité de 35% dans Internet Explorer Impact majeur dans les services en ligne également Les sites non-SDL (développement tierce) ont des taux beaucoup plus élevés d'incidents de sécurité

7 77 SDL Principes et processus Paradigme SD 3 +C Sécurité dès la conception Sécurité par défaut Sécurité du déploiement Communications Paradigme PD 3 +C Respect de la vie privée dès la conception Respect de la vie privée par défaut Respect de la vie privée dans le déploiement

8 88 SDL dans le cycle de vie du projet FormationFormation Formation de base ExigencesExigences Analyse des risques sur la sécurité et le respect de la vie privée Définir de jalons de qualité ConceptionConception Modélisation des menaces Analyse de la surface d'attaque Mise en oeuvre Outils spécifiques Fonctions bannies Analyse statique VérificationVérification Tests dynamiques / par fuzzing Vérification du modèle de menaces et de la surface d'attaque PublicationPublication Plan de réponse Revue finale de sécurité Archivage RéponseRéponse Réponse à proprement parler

9 99 SDL et les niveaux de maturité Ou en êtes vous vs SDL et une approche sécurisé ?

10 10 SDL Optimisation Model

11 11 SDL – les outils MiniFuzz File Fuzzer Détection de bugs dans la manipulation de fichier BinScope Binary Analyzer Outil de vérification des binaires (C/C++) vs les préconisation SDL (compilateurs settings et flags) SDL Process Template for VSTS Template a intéger dans VSTS et TFS pour une gestion agile de SDL SDL Threat Modeling Tool Outil de modélisation des menaces FxCop Analyse des binaires managed vs les préconisations SDL

12 12 SDL – les outils SiteLock Permet de bloquer l’usage d’ActiveX a certain domaines (internet) Code Analysis for C/C++ (/analyze in Visual Studio) Flags pour le compilateur C/C++ permettant une analyse statique du code (à combiner avec les annotation SAL) Anti-Cross Site Scripting (Anti-XSS) v3 BETA Librairie d’anti cross scripting v3 Code Analysis Tool.NET (CAT.NET) v1 CTP Outil complementaire d ’analyse statique de code managé Banned.h Les fonctions (C/C++) a bannir de vos codes vs les préconisations SDL

13 13 Démos Des outils, c’est fait pour être démontré !

14 14 Ressources SDL Tools http://msdn.microsoft.com/en-us/security/sdl-tools- download.aspx SDL Documentation http://msdn.microsoft.com/fr-fr/security/default.aspx Blog M Howard http://blogs.msdn.com/michael_howard

15

Télécharger ppt "22 Fun with Fuzzing : les outils SDL SEC306 Eric Vernié Division Plateforme et Ecosystème Microsoft France Eric Mittelette Division."

Présentations similaires

Présentation des technologies SharePoint 2007

Présentation des technologies SharePoint 2007
Les technologies décisionnelles et le portail

Les technologies décisionnelles et le portail
Botnet, défense en profondeur

Botnet, défense en profondeur
Comment créer une alerte WMI ? WMI Windows Management Instrumentation Outils : SQL Server Management Studio SQL Agent Patrick Guimonet Architecte Infrastructure.

Comment créer une alerte WMI ? WMI Windows Management Instrumentation Outils : SQL Server Management Studio SQL Agent Patrick Guimonet Architecte Infrastructure.
SDL Trustworthy Computing Security Development Lifecycle Synthèse E. Mittelette, E Vernié

SDL Trustworthy Computing Security Development Lifecycle Synthèse E. Mittelette, E Vernié
Modélisation des menaces

Modélisation des menaces
Tournée TechNet 2006 sur la conception « Une infrastructure sécurisée bien gérée »

Tournée TechNet 2006 sur la conception « Une infrastructure sécurisée bien gérée »
Service Software Factory François MERAND Responsable groupe architectes DPE – Division Plateformes & Ecosystème Microsoft France

Service Software Factory François MERAND Responsable groupe architectes DPE – Division Plateformes & Ecosystème Microsoft France
SDL Trustworthy Computing Security Development Lifecycle

SDL Trustworthy Computing Security Development Lifecycle
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.

« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Conclusion Rencontres ASP.NET : Développement Rapide dApplications Web.

Conclusion Rencontres ASP.NET : Développement Rapide dApplications Web.
Test et Développement Visual Studio Team System Eric Mittelette – Benjamin Gauthey – Yann Faure DevDays 2006 Equipé aujourdhui, prêt pour demain !

Test et Développement Visual Studio Team System Eric Mittelette – Benjamin Gauthey – Yann Faure DevDays 2006 Equipé aujourdhui, prêt pour demain !
Nouveautés pour les développeurs Office System Scott Burmester Responsable des programmes PSPS.

Nouveautés pour les développeurs Office System Scott Burmester Responsable des programmes PSPS.
1 HPC pour les opérations. Administration Compute Cluster Server.

1 HPC pour les opérations. Administration Compute Cluster Server.
19 septembre 2006 Tendances Logicielles IBM Rational Data Architect Un outil complet de modélisation et de conception pour SGBD Isabelle Claverie-Berge.

19 septembre 2006 Tendances Logicielles IBM Rational Data Architect Un outil complet de modélisation et de conception pour SGBD Isabelle Claverie-Berge.
Projet SeVeCom (Secure Vehicular Communications)

Projet SeVeCom (Secure Vehicular Communications)
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003

Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
LES BONNES PRATIQUES Présentation du 31 Mars 2005

LES BONNES PRATIQUES Présentation du 31 Mars 2005
Tests et Validation du logiciel

Tests et Validation du logiciel
Les Ateliers de Génie Logiciel

Les Ateliers de Génie Logiciel

Présentations similaires

Annonces Google