Comment procéder pour que son code soit «validé» afin de s'assurer qu'il est suffisamment sécurisé pour être rendu public? En d'autres termes, si j'ai écrit une application PHP et que j'ai fait des efforts pour assainir toutes les entrées, existe-t-il un moyen ou un service couramment utilisé/accepté où un ou plusieurs experts peuvent vérifier qu'il est suffisamment sécurisé? ?Service de vérification de code? (Langues Internet - PHP/ASP/Javascript)
Eh bien, je serai franc ici. Non. Il n'y a pas de méthode connue que vous pouvez utiliser pour vous dire si elle est "suffisamment sécurisée" ... C'est un problème très difficile (après tout, même les grandes sociétés de logiciels ont parfois des problèmes massifs).
Il existe un number of automated testing tools available. Je n'ai vraiment rien de positif à dire sur aucun d'entre eux. Certains sont meilleurs que d'autres, j'en suis sûr. Mais le groupe (environ 5) que j'ai essayé personnellement était horriblement inexact (on a trouvé plus de 20 000 vulnérabilités, chacun étant un faux positif). Et le problème est que vous devez savoir ce que vous faites pour déterminer avec précision si c'est un faux positif, ou comment le réparer si ce n'est pas le cas.
La meilleure méthode si vous pouvez vous le permettre est d'engager un expert en sécurité PHP professionnel pour examiner la base de code. Remarque, je parle d'un expert réel, pas seulement une entreprise qui prétend faire le service (depuis - plus que jamais dans mon expérience - le plus souvent ils essaient simplement de capitaliser sur le marché).
Cela étant dit, si vous vraiment voulez que quelqu'un jette un coup d'oeil, engagez une entreprise de sécurité de bonne réputation. Essayez de lire sur certaines ressources de sécurité afin de pouvoir vérifier vous-même (ou du moins commencer à écrire du code plus sécurisé) ... sans ordre particulier:
Il y a des tonnes de plus, il suffit de regarder ...
Découvrez Skipfish - c'est gratuit et open source, et fait un bon travail d'analyse des sites pour XSS et les vulnérabilités de type injection. Il propose certaines choses qui pourraient être considérées comme des «faux positifs», mais c'est mieux que rien. –
Bien répondu. Merci :) – MrVimes
connexes: http://stackoverflow.com/questions/72394/what-should-a-developer-know-before-building-a -public-web-site –
Cherchez-vous l'analyse de code statique ou pour une sorte de tester le site Web (par exemple entrer automatiquement une entrée malveillante dans les éléments '') – NikiC