Quelle est la méthode la plus efficiente pour identifier les vulnérabilités présentes dans un logiciel ?
[A] Revue manuelle de code (Manual code review)
[B] Tests dynamiques et statiques (Dynamic and static testing)
[C] Exécution du logiciel dans un environnement utilisateur
[D] Fuzzing
Proposition [A] – Revue manuelle de code : Elle n’est pas toujours efficace pour trouver toutes les vulnérabilités d’un logiciel. D’autre part, elle est totalement inopérante pour tous les logiciels commerciaux dont on ne dispose pas du code source.
Proposition [B] – Tests dynamiques et statiques : Les tests dynamiques et statiques sont les approches les plus complètes pour identifier les vulnérabilités du code source.
Les tests statiques ( SAST) permettent d’analyser le code source sans l’exécuter, afin de détecter des erreurs de programmation, des vulnérabilités connues (ex. injection SQL, dépassement de tampon) et des mauvaises pratiques de développement.
Les tests dynamiques ( DAST) exécutent l’application et interagissent avec elle pour détecter des vulnérabilités en condition réelle d’utilisation.
L’association des deux approches permet d’obtenir une couverture de sécurité complète.
Proposition [C] – Exécution du logiciel : Cela permet de détecter des bugs mais ne garantit pas la découverte de vulnérabilités.
Proposition [D] – Fuzzing : Cette technique consiste à une analyse dynamique par injection d’entrées aléatoires pour identifier des failles. Le fuzzing est cependant limité dans sa capacité à détecter des vulnérabilités complexes.
La bonne réponse est la proposition [B]
Pour en savoir plus sur les vulnérabilités logicielles et les évaluations de sécurité nous vous recommandons de suivre les modules n°15 et 16 de la formation CISSP de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE
