4 min lecture • Guide 588 of 877
Meilleures Pratiques de Sécurité pour Équipes de Développement
La sécurité n'est pas une fonctionnalité ajoutée à la fin—c'est un état d'esprit qui imprègne chaque étape du développement. GitScrum aide les équipes à suivre les tâches de sécurité, gérer la remédiation des vulnérabilités et assurer que les revues de sécurité se produisent avant que le code n'atteigne la production.
Points d'Intégration Sécurité
| Phase | Activité Sécurité | Automatisation |
|---|---|---|
| Conception | Modélisation menaces | Partielle |
| Code | Codage sécurisé, revue | Manuel |
| Build | SAST, scan dépendances | Complète |
| Test | DAST, test pénétration | Partielle |
| Déploiement | Validation config | Complète |
| Runtime | Monitoring, WAF | Complète |
Cycle de Vie Développement Sécurisé
SÉCURITÉ DANS LE SDLC
PHASE 1: CONCEPTION
┌─────────────────────────────────────────────────┐
│ Modélisation Menaces: │
│ ├── Identifier assets (données, fonctions) │
│ ├── Identifier menaces (framework STRIDE) │
│ ├── Identifier mitigations │
│ └── Documenter exigences sécurité │
│ │
│ Exigences Sécurité: │
│ ├── Besoins authentification │
│ ├── Modèle d'autorisation │
│ ├── Exigences protection données │
│ └── Exigences conformité │
│ │
│ Revue Architecture: │
│ ├── Patterns architecture sécurisée │
│ ├── Frontières de confiance │
│ └── Défense en profondeur │
└─────────────────────────────────────────────────┘
PHASE 2: DÉVELOPPEMENT
┌─────────────────────────────────────────────────┐
│ Codage Sécurisé: │
│ ├── Suivre les guidelines de codage sécurisé │
│ ├── Validation des entrées │
│ ├── Encodage des sorties │
│ ├── Requêtes paramétrées │
│ └── Gestion d'erreurs appropriée │
│ │
│ Revue Code: │
│ ├── Checklist revue focalisée sécurité │
│ ├── Vérifications auth/autorisation │
│ ├── Revue gestion données │
│ └── Pas de secrets codés en dur │
└─────────────────────────────────────────────────┘
PHASE 3: TEST
┌─────────────────────────────────────────────────┐
│ Test Automatisé: │
│ ├── SAST (Analyse Statique) │
│ ├── DAST (Analyse Dynamique) │
│ ├── Scan de dépendances │
│ └── Scan de containers │
│ │
│ Test Manuel: │
│ ├── Test de pénétration │
│ ├── Revue sécurité │
│ └── Test cas d'abus │
│ │
│ Cas de Test Sécurité: │
│ ├── Tentatives bypass authentification │
│ ├── Tests frontières autorisation │
│ ├── Test validation entrées │
│ └── Test gestion sessions │
└─────────────────────────────────────────────────┘
Vulnérabilités Courantes
PRÉVENTION TOP 10 OWASP
INJECTION:
┌─────────────────────────────────────────────────┐
│ Risque: SQL, NoSQL, OS, injection LDAP │
│ │
│ Prévention: │
│ ├── Utiliser requêtes paramétrées │
│ ├── Utiliser frameworks ORM │
│ ├── Valider et assainir les entrées │
│ └── Échapper caractères spéciaux │
│ │
│ ✗ Mauvais: │
│ query = "SELECT * FROM users WHERE id=" + id │
│ │
│ ✓ Bon: │
│ query = "SELECT * FROM users WHERE id = ?" │
│ stmt.setInt(1, id) │
└─────────────────────────────────────────────────┘
AUTHENTIFICATION CASSÉE:
┌─────────────────────────────────────────────────┐
│ Risque: Hijacking session, credential stuffing│
│ │
│ Prévention: │
│ ├── Authentification multi-facteurs │
│ ├── Politiques mot de passe fortes │
│ ├── Verrouillage après tentatives échouées │
│ ├── Gestion sessions sécurisée │
│ └── Rotation ID session après login │
└─────────────────────────────────────────────────┘