OWASP Dependency Check : contrôler vos dépendances

DevOps
L'OWASP, Open Web Application Security Project, est une organisation à but non lucratif dont l’objectif est de mettre à disposition des acteurs de l’informatique des outils et référentiels permettant de vérifier la sécurité des applications web.

Le Top Ten OWASP est d’ailleurs l’un des classements les plus utilisés dans les audits de sécurité informatique pour déterminer la criticité des failles qu’expose une application web. C’est dans cet objectif de sécurisation des applications web que l’OWASP met à disposition la solution open source « OWASP Dependency Check ». Cet utilitaire permet d’analyser un projet, d’en extraire la liste des composants externes et de la comparer avec un référentiel de vulnérabilités. La base de référence est la NVD (National Vulnerability Database) qui est le référentiel de vulnérabilités du gouvernement américain. La prise en main de l’outil est assez simple et facilement automatisable à l’aide de plugins pour Maven ou Jenkins par exemple.

Plus concrètement

L’outil analyse le projet puis génère un rapport qui liste les composants impactés par des vulnérabilités. Il informe de la version du composant utilisé pour le projet, des versions impactées par la vulnérabilité ainsi que de la version à partir de laquelle la faille a été corrigée. Cette dernière information facilitera la prise de décision concernant l’action à mettre en place. 

En effet, dans l’idéal il faudrait mettre à jour la librairie impactée mais pour des raisons de dépendance du projet cela n’est pas toujours possible. L’investissement nécessaire pour la correction est parfois disproportionné par rapport au risque encouru. Pour mesurer le risque, une note CVSS (Common Vulnerability Scoring System) est attribuée à chaque vulnérabilité. Cette note sur 10 permet de déterminer la criticité d’une faille.


Néo-Soft par exemple, s’engage sur le délai de correction de la vulnérabilité en fonction de sa criticité. Afin de s’assurer de la sécurité du projet, OWASP DC doit être utilisé de pair avec un outil comme HP Fortity. Ce dernier vient analyser les failles de sécurité qui pourraient être introduites avec le code développé.



Freddy,

Ingénieur pôle innovation