GrammaTech CodeSonar Analyse Codes Sources & Binaires
- Solutions : Cybersécurité
- Fournisseur : CODESECURE (GRAMMATECH)
Dans un monde où le logiciel contrôle de plus en plus de systèmes critiques et connectés manipulant des données privées, il est devenu impératif de valider le code embarqué avec des objectifs de sécurité, qu’il s’agisse de codes sources C, C++, Java ou binaires. Pour les vulnérabilités de cybersécurité, en l’absence actuelle de normes, toutes les bonnes pratiques (ANSSI, IEC62443, etc) indiquent que l’analyse de code statique est un des moyens de validation quasi incontournable.
Dans un monde où le logiciel contrôle de plus en plus de systèmes critiques et connectés manipulant des données privées, il est devenu impératif de valider le code embarqué avec des objectifs de sécurité, qu’il s’agisse de codes sources C, C++, Java ou binaires. Pour les vulnérabilités de cybersécurité, en l’absence actuelle de normes, toutes les bonnes pratiques (ANSSI, IEC62443, etc) indiquent que l’analyse de code statique est un des moyens de validation quasi incontournable.
CodeSonar est un outil d’analyse statique avancée pour codes sources C, C++, Java, et binaires (x86, x64 et ARM). Au-delà de détecter des erreurs « Runtime » telles que des déréférencements de pointeurs ou des divisions par zéro, CodeSonar ne se contente pas de faire une simple analyse syntaxique du code (qui ne permet de détecter que les violations des règles de codage et de faire de la qualimétrie), il crée une représentation (modèle) du code avec tous les chemins possibles ainsi que le flot de données. Cette représentation permet à CodeSonar de détecter ces erreurs « Runtime » très difficiles (voire impossible) à détecter par des techniques de tests dynamiques (TU/TI/TV, etc) classiques), et qui participent à améliorer la sécurité fonctionnelle (Safety).
Mais la particularité de CodeSonar est de détecter également des vulnérabilités de type cybersésurité (Security) comme entre autres les Tainted Datas, permettant de réduire considérablement la surface d’attaque des logiciels tout en augmentant leur robustesse. CodeSonar se différencie de tous les autres analyseurs statiques de code (Standards ou Avancés) en étant également capable de faire ces analyses sur des codes binaires, sans les sources. Capacité qui devient primordiale de nos jours où le nombre de logiciels tiers (COTS, SOUP) sous forme de librairies binaires ne cesse d’augmenter et pour lesquels, jusqu’à présent, il n’était pas possible de juger leur qualité et surtout leur dangerosité.
Mais la particularité de CodeSonar est de détecter également des vulnérabilités de type cybersésurité (Security) comme entre autres les Tainted Datas, permettant de réduire considérablement la surface d’attaque des logiciels tout en augmentant leur robustesse. CodeSonar se différencie de tous les autres analyseurs statiques de code (Standards ou Avancés) en étant également capable de faire ces analyses sur des codes binaires, sans les sources. Capacité qui devient primordiale de nos jours où le nombre de logiciels tiers (COTS, SOUP) sous forme de librairies binaires ne cesse d’augmenter et pour lesquels, jusqu’à présent, il n’était pas possible de juger leur qualité et surtout leur dangerosité.
CodeSonar pour codes sources C/C++/Java
CodeSonar Source est capable d’effectuer plus de 200 types de détections de sûreté et cybersécurité. De plus, CodeSonar Source permet :
L’analyse de CodeSonar Source va bien plus loin que celles d’outils gratuits (CppCheck, …) ou d’outils syntaxiques commerciaux (Livre blanc sur l’analyse statique avancée pour en savoir plus).
- L’analyse de standards de règles de codage (MISRA C:2004/2012, MISRA C++:2008, CWE, JPL, CERT C/Java…).
- L’analyse de métriques qualité logiciel (Complexité Cyclomatique, Halstead, …).
- La visualisation de l’architecture complète de votre code source et des liens entre les différents modules d’un projet.
- De nombreuses autres fonctionnalités…
CodeSonar pour binaires x86/x64/ARM
CodeSonar Binary intègre un désassembleur de code x86/X64/ARM, puis analyse directement le code assembleur obtenu. La technologie ne reposant pas sur les informations de débogage ni sur les tables de symboles, tout exécutable binaire (.exe, .dll, .so, .bin, …), stripped ou non, peut être analysé, vous permettant d’effectuer un audit de sûreté ou de cybersécurité sans l’aide d’une société tierce !
De plus, lorsqu’un binaire est incorporé à votre projet, le mixed mode vous permet d’analyser en même temps le binaire ainsi que votre propre code source : comprenez comment votre application interagit avec les librairies tierces, quels impacts celles-ci peuvent avoir sur votre propre code et comment les maitriser, et visualisez le graphe d’appel complet de votre système (incluant à la fois votre code source et le code binaire) !
De plus, lorsqu’un binaire est incorporé à votre projet, le mixed mode vous permet d’analyser en même temps le binaire ainsi que votre propre code source : comprenez comment votre application interagit avec les librairies tierces, quels impacts celles-ci peuvent avoir sur votre propre code et comment les maitriser, et visualisez le graphe d’appel complet de votre système (incluant à la fois votre code source et le code binaire) !
A propos de GrammaTech
CodeSonar est édité par la société américaine GrammaTech, l’un des pionniers mondiaux dans le développement d’outils d’Assurance Qualité logiciel et de cybersécurité. Depuis plus de 20 ans, GrammaTech a massivement investi en Recherche et Développement, en partenariat avec des universités (Cornell, University of Wisconsin) et organismes gouvernementaux (AFRL-Rome, Air Force Research Laboratory, DARPA, US Department of Homeland Security, NASA, US Army, …), sur les trois thèmes suivants :
- Software Assurance – Assurance Qualité Logiciel : nouvelles technologies pour analyser et corriger les logiciels afin d’assurer l’intégrité de l’exécution et prévenir les bugs et failles ;
- Sofware Hardening – Durcissement du logiciel : technologies exclusivement axées sur la résilience du système.
- Autonomic Computing – Informatique autonome: fournir aux systèmes logiciels la possibilité de se «protéger soi-même».