Ecrivez-vous du code sécurisé?

Au CERN, nous sommes excellents dans la production de logiciels, comme des jobs d'analyse complexe, des programmes de contrôle sophistiqués, des outils de surveillance étendue, des applications Web interactives, etc. Ces logiciels sont généralement très fonctionnels et répondent assurément aux besoins et aux exigences définis par son auteur. Toutefois, en raison de contraintes de temps ou tout simplement par ignorance, les aspects de sécurité sont souvent négligés. Dans le passé, il a, par la suite, été encore plus embarrassant pour l'auteur de découvrir que son code était imparfait et avait été détourné pour pénétrer les ordinateurs du CERN, des pages web ou pour voler des données...

Ainsi, si vous avez le plaisir ou le devoir de produire des applications logicielles, prenez du temps avant pour vous familiariser avec les pratiques de bonne programmation. Elles devraient non seulement éviter des failles de sécurité de base dans votre code, mais aussi améliorer la lisibilité, la maintenabilité, ainsi que l'efficacité de celui-ci. On trouvera les règles de base pour une bonne programmation, ainsi qu'une liste d'ouvrages de réfèrence sur le développement logiciel, dans la section destinée aux développeurs logiciels sur notre page web. Vous pouvez également tester facilement vos logiciels vous-même. Vérifiez soigneusement les avertissements de votre compilateur et utilisez les analyseurs de code statiques suggérés. De plus, les formations techniques HR fournissent bien sûr d'excellents cours sur la programmation sécurisée en Java, C++, Python, Perl et les langages web. Les prochains cours pratiques, d'une journée, portent sur la sécurisation de PHP, Java et les applications Web (27, 28 et 29 septembre respectivement) ainsi que sur la programmation sécurisée en Python (28 octobre). Il y a encore des places disponibles ! Enfin, n'hésitez pas à contacter Computer.Security@cern.ch si vous préférez un examen externe de votre logiciel !

par Computer Security Team