Bonjour,
Dans le cadre de ma dernière année de master, je dois réaliser un projet de recherche scientifique.
Mon sujet porte sur les vulnérabilités engendrées par une mauvaise utilisation et gestion des dépendances et package dans une application web.
Dans ce cadre, je voulais donc interroger des développeurs sur leurs utilisations d’outils d’analyse des dépendances et de détection de vulnérabilité.
Mes questions:
Utilisez vous des outils d’analyse des dépendances et de détection de vulnérabilité?
Si oui quels outils utiliser vous? Avec quels objectifs l’utiliser vous?
L'utilisation est t’il obligatoire, s’inscrit-il dans une politique particulière mis en place par l’entreprise?
Merci pour vos réponses.
Hello,
Alors, pour répondre assez rapidement, de plus en plus d'outils de gestions de dépendances (npm, composer, etc...) intègrent eux-même des outils d'analyse de vulnérabilités.
Il existe aussi des outils qui se branchent directement sur les outils de versionning (git, mercurial, etc...) qui permettent de faire ce genre d'analyse. Comme ça, je n'ai que "dependabot" en tête, qui est surtout là pour prévenir qu'il y a des mises à jours à nos dépendances mais qui peut aussi prévenir qu'il y a des vulnérabilités dans celles-ci.
Concernant l'obligation de ces outils en entreprise, ça dépend fortement de l'entreprise. Mais la plupart vont avoir le même mot d'ordre : Vous apprenez qu'il y a une vulnérabilité ? Corrigez-la !. L'exemple récent le plus parlant reste la vulnérabilité qui a été découverte sur la bibliothèque "log4j" qui a beaucoup fait parler d'elle. Je n'ai aucune connaissance qui travaillait avec du java qui n'a pas eu à corriger cette vulnérabilité.
Après, ça reste aussi au développeur de faire ses propres recherches concernant de potentielles failles.
En espérant que ma réponse aura pu t'aider un peu.
Je suppose que d'autres personnes vont répondre aussi à ce sujet.