Aperçu
Qu’est-ce que Argus?
Argus est un cadriciel servant à tester la sécurité des applications. Grâce à lui, il est possible de déployer une plateforme pour effectuer des essais de sécurité qui s’intègre facilement au flux de tâches caractéristique associé au développement d’un logiciel. Argus repose sur l’infrastructure Kubernetes (K3s), laquelle autorise un déploiement rapide dans le nuage de l’ATIR et permet à l’entreprise d’amorcer des essais de sécurité statiques (SAST) ou dynamiques (DAST), plus avancés, sur les applications. Si le regroupement des outils nécessaires aux cadriciel d’essai en facilite et en accélère le déploiement, le sujet demeure néanmoins complexe et des compétences techniques sont nécessaires pour bien maîtriser la solution. Le projet se divise en deux. La première partie, plus simple, concerne la configuration de l’analyse SAST; la seconde (DAST) s’adresse à ceux qui aimeraient automatiser les essais sur leur application Web après son déploiement.
Quelle en est l’utilité pour mon entreprise?
Ajouter un système structuré pour vérifier la sécurité des applications au processus de développement des logiciels vous aidera à garantir que ces derniers n’ont pas de vulnérabilités et à rendre le codage plus homogène. En vérifiant la présence de vulnérabilités et en uniformisant le codage, vous rehausserez la qualité des logiciels et renforcerez la confiance de l’utilisateur en lui montrant qu’on a contrôlé la qualité de l’application sur le plan de la sécurité et que des mesures ont été prises en ce sens.
Analyse SAST
Argus recourt à une solution gratuite de source ouverte pour aider le développeur à se familiariser avec l’analyse par essais de sécurité statiques (SAST) et à saisir les problèmes de sécurité illustrés. Cette solution peut être installée dans le nuage de l’ATIR (ou sur les lieux, ou chez soi) aux fins d’apprentissage ou d’expérimentation. Vous n’aurez besoin pour cela que d’une machine virtuelle et d’un accès au code source de l’application.
Bien que des solutions SAST existent dans le commerce, certaines mises en garde s’imposent. Quelques-unes proposent un volet gratuit ou peu coûteux, mais exigent que le code de base soit versé dans un dépôt public. D’autres s’adressent aux développeurs qui désirent tester leur produit et pourraient ne pas donner accès aux fonctionnalités qui règleront les problèmes de sécurité soulevés par le code. Autre préoccupation : certaines solutions SAST n’indiquent pas de prix, ce qui vous obligera à consulter le personnel de vente pour le connaître.
Analyse DAST
Les applications DAST gratuites de qualité production sont peu nombreuses, problème auquel Argus tente de remédier en utilisant Zaproxy, outil de source ouverte populaire. En combinant Zaproxy aux pratiques exemplaires en usage dans la profession, on apprendra à intégrer une solution DAST au pipeline d’intégration et de diffusion (CI/CD) continues.