Sécurité applicative
SCA (Software Composition Analysis)
Aussi appelé: Sécurité open source, Scan de dépendances
Définition
Analyse automatisée des composants open source et tiers d'une application pour identifier les vulnérabilités connues, les problèmes de licence et les dépendances obsolètes ou risquées.
Exemples
- Dependabot qui ouvre des pull requests pour mettre à jour des paquets npm vulnérables.
- Snyk Open Source en CI qui fait échouer le build sur des CVE critiques avec correctif disponible.
Termes liés
SAST (Static Application Security Testing)
Analyse automatisée du code source, du bytecode ou des binaires — sans exécution — pour repérer des faiblesses de sécurité comme l'injection, les API non sûres ou la cryptographie faible.
DAST (Dynamic Application Security Testing)
Tests de sécurité boîte noire qui sollicitent une application en cours d'exécution via le réseau pour détecter des vulnérabilités visibles uniquement à l'exécution.
CVE (Common Vulnerabilities and Exposures)
Catalogue public attribuant un identifiant unique à chaque vulnérabilité divulguée afin de la référencer sans ambiguïté dans toute l'industrie.
DevSecOps
Culture et pratiques qui intègrent les responsabilités de sécurité dans les flux DevOps afin de livrer en continu et rapidement des logiciels sécurisés.
Attaque de la chaîne d'approvisionnement
Attaque qui compromet un fournisseur de logiciel, de matériel ou de services de confiance afin d'atteindre ses clients en aval.
Log4Shell (CVE-2021-44228)
Vulnérabilité critique d'exécution de code à distance d'Apache Log4j 2 révélée en décembre 2021, déclenchable simplement en faisant journaliser une chaîne JNDI.