développement sécurisé avec microsoft.net et hp fortify
DESCRIPTION
Intégration de la sécurité applicative dans le cycle de vie logiciel: maîtrise des risques et réduction des coûts HP Fortify Static Code Analyzer, plug-in Microsoft.Net pour la détection automatique et l’éradication à la source, les erreurs de codage qui pourraient donner lieu à des brèches de sécurité. Session présentée par le partenaire : HP. Speakers : Haleh Nematollahy (HP)TRANSCRIPT
Sécurité
HP FortifySoftware Security
Center et Microsoft VS .NetHaleh Nematollahy
Security Solutions Architect
HP Enterprise Security Products - Fortify
Sécurité#mstechdays
NetworksHardware
Security Measures
• Switch/Router security• Firewalls• NIPS/NIDS• VPN• Net-Forensics• Anti-Virus/Anti-Spam• DLP• Host FW• Host IPS/IDS• Vuln. Assessment tools
LES APPLICATIONS CIBLES CYBER-ATTAQUE
Intellectual Property
Customer Data
Business Processes
Trade Secrets
Applications
Sécurité#mstechdays
84%des brèches sont au niveau de l’application
*Gartner, 2013
LE PROBLEME
Sécurité#mstechdays
SECURITÉ LE DEFI
In-houseDevelopment
Outsourced
Commercial
Open source
Achat de logiciels Securisées
ValidationComformité
Certification NouvellesReleases
Sécurisation des applications
héritées
Sécurité#mstechdays
L'APPROCHE ACTUELLE> RÉACTIVE, CHÈRE
$convaincre et payer un développeur pour corriger
4$ $Nous nous faisons pirater ou nous payons quelqu'un pour nous dire que notre code est mauvais
3Quelqu'un construit logiciel avec des failles 1
In-house Outsourced Commercial Open source
IT déploie le mauvais logiciel
2
Sécurité#mstechdays
30X
15X
10X
5X
2X
FIXING THINGS LATE IS FRUSTRATING30x more costly to secure in production
Une fois qu’une application est en production, le cout de remédiassions est 30x plus élevé .
Cost
Source: NIST
ProductionSystem testing
Integration/ component testing
CodingRequirements
Sécurité#mstechdays
Logiciels existants ou nouvellement créés 1 Good code
APPROCHE INTÉRIMAIRE> PLUS SÛR ET RENTABLE
In-house Outsourced Commercial Open source
Mettre en œuvre des points de sécurité pour déterminer si le logiciel est résistant avant de déployer en production
2
Travailler avec les Développeurs afin de localiser et de corriger les vulnérabilités
3Surveiller et protéger les logiciels fonctionnant en production
4
Sécurité#mstechdays
HP FORTIFY SOFTWARE SECURITY CENTERTrouver et corriger les problèmes de sécurité dans le développement, Fortify les applications contre les attaques
• Économiser la sécurité, les audits et les pen tests
• Réduit les risques de logiciel avec un minimum d'effort et de coût
• Protèger les applications contre les attaques en supprimant les failles de sécurité lors du développement
IN-HOUSE OUTSOURCED
COMMERCIAL OPEN SOURCE
Fortify Solutions
Actual Attacks
Real-Time ProtectionOf Running Application
Hackers
Vulnerability Management
Static Analysis Via Build Integration
Source CodeMgt System
Dynamic Testing InQA Or Production
VulnerabilityDatabase
IDE Plug-ins for MS Visual Studio
Developers(onshore or offshore)
Remediation
Correlate Target Vulnerabilities With Common Guidance and Scoring
Application Lifecycle
Development, Projectand ManagementStakeholders
Defects, Metrics And KPIs Used To Measure Risk
Threat IntelligenceRules Management
Normalization(Scoring, Guidance)
Correlation(Static, Dynamic,
Runtime)
Static Analysis Dynamic Analysis Runtime Analysis
Sécurité#mstechdays
SOFTWARE SCANNING PROCESS
Fortify SSC
MS VS Developers
Auditor /Security
Build / Scan on TFS Static Code Analysis (SCA)
Code Repository
Bug Tracking using MS TFS
Check in Code
Scheduled Check-out, Build and Scan
Upload Scan Results
Auditor Reviews Results
Submit Findings to Bug Tracker
Developer Fixes Bug / Security Finding
Repeat as Necessary
.fpr file
Scan Fix
démo
Design/UX/UI#mstechdays
Sécurité
démo
Design/UX/UI#mstechdays
Sécurité
HP FORTIFY SOFTWARE SECURITY CENTER ET MS VS .NET
• Scan/Analyser Webgoat.Net avec Fortify SCA dans MS VS 2013 .Net
• Réviser résultats dans VS 2013
• Fix SQLi, XSS dans VS 2013
• Scan/analyser avec Fortify SCA dans MS VS 2013
• Upload/télécharger les résultats sur Fortify Software Security Center
• Démonstration de Software Security Center
• Générer des Reports
Sécurité#mstechdays
FIND, FIX AND FORTIFYHP Fortify Software Security Center
1
2
3
4
Find & Fix Trouver et corriger les problèmes de sécurité dans MS. Net développement
Fortify Fortifier les applications contre les attaques
Save Économiser le développement
Reduce Réduire le risque des applications
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Digital is business
Thank you
MerciThank you