Un logiciel sûr commence avant la première ligne de code, et le développement de logiciels est indissociable de la sécurité. Les dangers guettent tout au long du cycle de vie du logiciel : les pirates ciblent les dépôts et tentent d’introduire des codes malveillants dans des projets étrangers via des bibliothèques prétendument utiles. Ce ne sont pas seulement les applications web accessibles au public qui sont attaquées, mais presque toutes les applications, même dans des environnements apparemment sûrs.
Sommaire
OWASP Top Ten, cryptographie et DevSecOps
Le numéro spécial d’iX-Developer « Sichere Software entwickeln » (développer des logiciels sûrs) aborde de nombreux thèmes importants pour concevoir ses propres logiciels de manière plus sûre dès le début. Il présente entre autres différentes méthodes d’analyse de code, des procédés statiques au fuzzing. Pour le développement web, un coup d’œil sur le Top Ten 2021 de l’OWASP est indispensable.
La cryptographie est une condition de base pour de nombreuses applications, mais de nombreux pièges guettent lors de l’utilisation pratique, d’autant plus que la documentation des outils open source est souvent pauvre. Comme les ordinateurs quantiques vont probablement redistribuer les cartes dans un avenir proche et envoyer sur la voie de garage des algorithmes actuellement considérés comme sûrs, un article donne un aperçu de la cryptographie post-quantique.
Langages de programmation uniques et sécurité dans le cloud
Le magazine met également en lumière les aspects de sécurité pour certains langages de programmation : Un article montre comment détecter et empêcher les erreurs de mémoire en C++, tandis qu’un autre examine à la loupe les concepts de sécurité de Rust. Les utilisateurs de Java trouveront un aperçu des modifications de sécurité importantes depuis Java 11.
La division des monolithes en architectures de microservices et l’utilisation du Serverless Computing apportent de nombreuses nouvelles interfaces et donc de nouvelles surfaces d’attaque. Dans le cloud, le Confidential Computing doit protéger les données sensibles et l’Open Policy Agent aide à mettre en œuvre les directives de sécurité.
D’autres thèmes abordés dans le magazine sont les pentests, le Privacy by Design, la sécurité des conteneurs et la sécurisation de la chaîne d’approvisionnement logicielle et matérielle dans l’IoT.
L’édition spéciale est disponible dès maintenant au prix de 14,90 euros chez les marchands de journaux bien achalandés. La boutique heise propose l’édition imprimée jusqu’au 2 décembre avec une livraison gratuite. Ceux qui préfèrent la lecture numérique peuvent acheter l’édition PDF du numéro spécial pour 12,99 euros dans la boutique heise. Le bundle comprenant l’édition imprimée plus le PDF coûte 19,90 euros.