Présentation du plugin OWASP Dependency-Check RAPHAEL DULONG DF/DDCE/ISTA/SDSS/MSET PSA Peugeot Citroën.

Présentation au sujet: "Présentation du plugin OWASP Dependency-Check RAPHAEL DULONG DF/DDCE/ISTA/SDSS/MSET PSA Peugeot Citroën."— Transcription de la présentation:

1 Présentation du plugin OWASP Dependency-Check RAPHAEL DULONG DF/DDCE/ISTA/SDSS/MSET PSA Peugeot Citroën

2 Présentation de l’OWASP et de la NVD Utiliser des composants vulnérables Présentation des plugins Cycle de vie des plugins Rapport généré par Maven Rapport généré par SonarQube 2345 Sommaire 6 2 1

3 Présentation de l’OWASP de la NVD o Le projet OWASP Open Web Application Security Project Organisme indépendant des fournisseurs et des gouvernements Produit des outils et des informations concernant la sécurité des application o La National Vulnerability Database (NVD) La NVD renseigne toutes les vulnérabilités connues (nom, année, sévérité, impact…) Elle est gérée par le gouvernement américain La base est mise à jour continuellement Plus de 75.000 vulnérabilités référencés (dont +8500 en 2015) 1 classification

4 Utiliser des composants vulnérables o Utiliser des composants vulnérables figure dans le top 10 des problèmes de sécurité majeur de l’OWASP o L’exploitation d’un composant vulnérable peut avoir un impact critique sur l’application concernée o Peut permettre la prise de contrôle de l’application, la manipulation des données, l’exécution arbitraire de code… o L’exploitation de ce genre de vulnérabilité ne nécessite pas forcément d’être un expert 2 classification

5 Présentation des plugins 3 Deux plugins classification Plugin Dependency-check- Maven Scan un projet et génère un rapport contenant la liste des composants vulnérables du projet. Open-Source et développé par l’OWASP Supporte les langages Java, PHP, Python, Ruby,.NET et Node.js Utilise les données de la National Vulnerability Database Plugin Dependency-check- SonarQube Récupère le rapport précédemment généré par le plugin Maven pour l’afficher dans SonarQube (5.1 minimum). Open-Source Affiche un rapport détaillé et modifiable sur le tableau de bord de SonarQube

6 Cycle de vie des plugins Plugin Maven: 4 classification Plugin Sonar :

7 Rapport généré par Dependency-Check Maven classification Sommaire o GAV: « GroupId:ArtifactId:Version » correspondance du composant dansMaven o CPE: « Comon Platform Enumeration » convention de nommage d’identification de composant o Highest Severity: plus haut niveau de criticité d’une vulnérabilité présente dans un composant o CVE count: nombre de vulnérabilité trouvé dans le composant o CPE Confidence: confiance à apporter à la bonne identification du composant o Evidence Count: nombre de preuves ayant permis d’identifier le composant 5

8 Rapport généré par Dependency-Check Maven classification Contenu Possibilité de supprimer des dépendances du rapport Description complète du composant vulnérable Liens de publication de la vulnérabilité Numéro de Vulnérabilité (CVE-AAAA-NNNN) 5 Niveau de sévérité de la vulnérabilité

9 Rapport généré par SonarQube o Classement selon la sévérité des vulnérabilités: High, medium ou low o Vulnerable Component Ratio: pourcentage de composants vulnérables dans le projet o Inherited Risk score: Se calcule: (high * 5) + (medium * 3) + (low * 1) Dashboard SonarQube classification 6

10 Rapport généré par SonarQube o « Filename » est le nom du composant vulnérable trouvé o « CVE » est le numéro qui référence les vulnérabilités sous la forme CVE-AAAA-NNNN (AAAA est l'année de publication de la vulnérabilité et NNNN un numéro incrémenté pour l’identifier) o « CVSS » donne le plus haut niveau de criticité d’une vulnérabilité présente dans le composant o Description des vulnérabilités présentes dans le composant Rapport détaillé SonarQube classification 6