Audit de code source / binaire

Objectif :
L’objectif de l'analyse statique avancée est d’identifier des bugs pouvant entraîner des pannes du système, un comportement inattendu et des failles de cybersécurité.

En analysant (selon les besoins) les codes sources et/ou binaires, un audit de code permet d'analyser les applications complètes, permettant d'éliminer les défauts les plus coûteux et difficiles à trouver au début du cycle de développement de l'application. Voici quelques exemples de détections pouvant être reportées par une telle analyse :

• Cybersécurité : Injection de commandes / SQL, tainted values, …
• Dépassement de tableau / buffer (buffer overrun / underrun).
• Division par zéro.
• Déréférencement de pointeur nul.
• Fuites mémoire.
• Débordement de pile.
• Problèmes de casts.
• Variables / pointeurs non initialisés.
• Double libération / fermeture de fichier / socket / mutex …
• Concurrence de threads: Data Race, Dead locks, famine …

Les analyses sont effectuées au travers de l’outil CodeSonar®, sur des codes sources C, C++ et Java, ainsi que sur des binaires x86, x64 et ARM. Celles-ci peuvent inclure une revue détaillée des détections, ainsi que des préconisations concrètes pour leur correction effectuées par les consultants experts ISIT.

Moyens/Procédure :
ISIT réalise les audits de code dans ses locaux, sur des applications logicielles fournies par le client, en garantissant la protection des données fournies, leur confidentialité ainsi que celle des résultats obtenus. ISIT dispose d’une architecture informatique à même de répondre à ces contraintes. La tarification et les délais de réalisation dépendent de la taille des codes à analyser, du niveau de documentation de conception disponible, et des contraintes de temps du client.

Résultats :
A l’issue de l’analyse, ISIT fournit un rapport d’audit comprenant les types de tests réalisés, les erreurs détectées (nombre, types, classification) et des indications sur leur emplacement et éventuellement les moyens de correction à mettre en œuvre.