Sécurité applicative
Sécurité applicative (AppSec)
Aussi appelé: AppSec, Sécurité logicielle
Définition
Discipline consistant à concevoir, développer, tester et exploiter les logiciels afin qu'ils résistent aux abus, à la falsification et aux accès non autorisés sur tout leur cycle de vie.
Exemples
- Ajouter des analyses SAST avec Semgrep et SCA avec Snyk dans un pipeline GitHub Actions.
- Exécuter un scan DAST OWASP ZAP sur l'environnement de préproduction avant chaque livraison.
Termes liés
Cycle de développement logiciel sécurisé (SSDLC)
Cycle de développement où les activités de sécurité sont intégrées à chaque phase, des exigences à la conception, au code, aux tests, à la livraison et à l'exploitation.
DevSecOps
Culture et pratiques qui intègrent les responsabilités de sécurité dans les flux DevOps afin de livrer en continu et rapidement des logiciels sécurisés.
Sécurité shift-left
Pratique consistant à déplacer les activités de sécurité au plus tôt dans le cycle de vie logiciel afin de détecter et corriger les vulnérabilités avant la production.
SAST (Static Application Security Testing)
Analyse automatisée du code source, du bytecode ou des binaires — sans exécution — pour repérer des faiblesses de sécurité comme l'injection, les API non sûres ou la cryptographie faible.
DAST (Dynamic Application Security Testing)
Tests de sécurité boîte noire qui sollicitent une application en cours d'exécution via le réseau pour détecter des vulnérabilités visibles uniquement à l'exécution.
OWASP Top 10
OWASP Top 10 — definition coming soon.