Intégrez la sécurité à votre application .NET

La dernière version de dotTEST (10.4.1) a introduit des améliorations significatives pour aider les organisations de développement à fournir des applications .NET sécurisées et fiables. Lisez la suite pour en savoir plus sur l'intégration de la sécurité dans le logiciel .NET.

Comme indiqué dans le rapport du SANS Institute récemment publié, DevOps sécurisé 2018: réalité ou fiction?, de nombreuses organisations sont liées par des contraintes en matière de confidentialité et d'accès (par exemple, RGPD, PCI, PII), les réglementations fédérales et la surveillance mandatée. Compte tenu de ces limites, pour garantir une stratégie DevSecOps réussie, il est essentiel d'intégrer des tests de sécurité automatisés dans les flux de travail de développement:

L'analyse continue des vulnérabilités peut être (et devrait être) intégrée dans des pipelines de construction / déploiement automatisés dans une intégration continue et une livraison continue pour détecter les problèmes dès qu'ils sont introduits.

- DevOps sécurisé 2018: réalité ou fiction?

Le rapport souligne également que plus de 50% des organisations interrogées considèrent les applications existantes comme risqué, représentant plus de 14% des violations - avec un nombre important d'applications exploitant .NET (plus de 30% des répondants).

La dernière version de dotTEST vise à aider les organisations à atténuer les risques commerciaux inhérents aux applications d'aujourd'hui, à relever ces défis grâce à des capacités d'analyse statique étendues et à l'introduction d'un nouveau pack de conformité de sécurité qui apporte des rapports de conformité pour OWASP, CWE et UL-2900. Équipes de développement NET.

Prise en charge étendue des normes de sécurité

Cette version étend la prise en charge de Parasoft pour les normes de sécurité .NET les plus importantes avec une prise en charge complète du Top 10 OWASP et la prise en charge la plus large de CWE dans l'industrie. Ce support complet permet aux équipes de renforcer la sécurité développement leur processus de qualité logicielle, exécutant une analyse approfondie du code directement dans Visual Studio, ainsi qu'une partie du pipeline CI / CD via l'interface de ligne de commande et les plugins CI (disponibles pour Jenkins, Bamboo, TeamCity et Azure DevOps).

En regardant OWASP Top 10, par exemple, le support complet de Parasoft aide les utilisateurs à se conformer à la recommandation en renforçant la sécurité dès le début du développement et tout au long du cycle de vie du logiciel en:

• Configurations de politique / test prêtes à l'emploi qui sont entièrement configurables.
• Exécution depuis l'EDI et via le processus CI / CD pour aider à localiser rapidement la vulnérabilité plus tôt dans le SDLC.
• Conseils sur la façon de corriger les vulnérabilités avec la documentation et le matériel de formation pris en charge.
• Tableaux de bord, widgets et rapports de conformité qui mettent en œuvre le cadre d'évaluation des risques OWASP.
• Corrélation de vulnérabilité des applications (AVC) avec des métriques de conformité en temps réel qui montrent à quel point vous réussissez à atteindre la conformité avec OWASP.

Si votre équipe regarde le CWE Top 25 pour obtenir des conseils en matière de sécurité, alors l'approche axée sur les politiques de Prasoft aide votre organisation à atteindre les objectifs de sécurité tout en garantissant une application cohérente et discrète des politiques. L'infrastructure automatisée surveille automatiquement la conformité aux politiques pour la visibilité et l'auditabilité.

Conformément à notre prise en charge du Top 10 OWASP, les mappages CWE prêts à l'emploi de Parasoft signifient que les utilisateurs n'ont pas à perdre de temps à essayer de déterminer quels sont les vérificateurs pour quels CWE lors de la configuration, et lors de la correction, les utilisateurs seront toujours sachez par nature sur quel CWE travaille parce que les noms du vérificateur d'analyse statique vous l'indiquent.

Rapports pour démontrer la conformité

En plus des nouvelles règles et configurations, le pack de conformité de sécurité comprend de nouveaux rapports de conformité pour OWASP et CWE qui incluent:

1. Aperçu de la conformité - fournir un résumé de l'état de conformité par rapport à chaque faiblesse.
2. Plan de détection des faiblesses - fournir un cadre configurable pour attribuer des violations d'analyse statique à des faiblesses spécifiques.
3. Rapport d'écart - fournir des rapports détaillés pour l'audit des exceptions de violation (c'est-à-dire les suppressions).

Exemple de rapport de conformité pour OWASP

Tableau de bord et workflows pour faciliter la voie vers la conformité

Le Security Compliance Pack introduit également de nouveaux tableaux de bord et widgets spécifiques à OWASP et CWE qui aident les entreprises à rationaliser le processus de mise en conformité (et de maintien) efficace. Mappage des violations d'analyse statique aux OWASP Évaluation des risques et CWE Impact technique et Concepts de développement permet aux organisations de comprendre le niveau de risque en association avec les normes, ainsi que l'emplacement exact du risque. Parasoft fournit également un flux de travail rationalisé pour naviguer et hiérarchiser les violations afin de garantir que l'équipe travaille le plus efficacement possible.

Widgets montrant la conformité et les violations OWASP, classés par risque

Widgets montrant la conformité et les violations CWE classées par concepts de développement et impact technique

TL; DR

De nombreux systèmes d'entreprise actuels reposent sur la plate-forme .NET, il est donc essentiel que ces applications soient fiables et sécurisées pour que les entreprises réussissent. La sortie récente de Parasoft dotTEST présente les fonctionnalités clés nécessaires pour aider les équipes de développement .NET à s'assurer que leurs applications sont sécurisées de manière fiable.

Par Marc Lambert

Vice-président des produits chez Parasoft, Mark est chargé de s'assurer que les solutions Parasoft apportent une valeur réelle aux organisations qui les adoptent. Mark travaille chez Parasoft depuis 2004, travaillant avec un large éventail de clients de Global 2000, des implémentations technologiques spécifiques aux initiatives plus larges d'amélioration des processus SDLC.