Sécurité du code PowerBuilder : Détecter les vulnérabilités avec l'inspection de code

La sécurité du code PowerBuilder va au-delà des bonnes pratiques de développement. Elle exige une analyse systématique des vulnérabilités qui s'accumulent silencieusement au fil des années de maintenance.

Le moteur d'inspection de code de Visual Expert analyse votre code PowerBuilder par rapport à plus de 300 règles prédéfinies, pour mettre en évidence les vulnérabilités de sécurité, les bugs et les problèmes de maintenabilité avant qu'ils n'atteignent la production.

Note : Si vous n'avez pas encore configuré Visual Expert, suivez ce tutoriel pour commencer.

Quels types de vulnérabilités PowerBuilder l'inspection de code détecte-t-elle ?

L'analyse de code PowerBuilder de Visual Expert identifie trois catégories de problèmes qui créent de réelles failles de sécurité :

• Vulnérabilités de sécurité – identifiants et clés de chiffrement codés en dur, risques d'injection SQL, failles de traversée de répertoires, modes de chiffrement non sécurisés, composants obsolètes (objets SOAP/INET, navigateur web OLE, EAServer), et algorithmes cryptographiques faibles (DES, MD5, SHA-1).
• Bugs et exceptions – blocs catch vides, erreurs non gérées, et chemins logiques pouvant être exploités ou provoquer une instabilité en production.
• Réduction de la surface d'attaque – code mort, code dupliqué, et composants obsolètes qui augmentent inutilement l'empreinte de votre application.

Pour la liste complète des règles de sécurité PowerBuilder appliquées par Visual Expert, consultez Règles d'analyse de sécurité du code PowerBuilder.

Activer l'inspection du code lors de la création d'un nouveau projet

• Créer un nouveau projet comme indiqué ici : PowerBuilder, Oracle, SQL Server

  Après avoir sélectionné le code source à analyser dans l'assistant de projet VE, activez les fonctions d'inspection du code :

  

Activer l'inspection du code pour un projet PowerBuilder existant

• Pour votre projet existant, activez la fonction "Inspection du code" via "Paramètres > Autres paramètres".
  
  
  
  
• Dans l'onglet Inspection du code, activez la fonctionnalité en cliquant sur le bouton "ON/OFF".
  
  
  
  
• Vous pouvez passer en revue les règles de code listées dans la colonne "Nom de la règle de code", et désactiver celles qui ne vous intéressent pas en décochant la case "IsActive".
• Fermez cette fenêtre pour enregistrer vos préférences

Résultat de l'inspection du code PowerBuilder

• Lorsque l'analyse du code est terminée, une nouvelle section "Inspection du code" s'affiche dans l'arborescence de Visual Expert.
  Les langues supportées sont listées à la racine du treeview.
  Pour chaque langage, le nombre de règles disponibles est indiqué :
  
  
  Sélectionnez un langage, par exemple : "Code Inspection pour PowerBuilder".
• Choisissez une macro pour sélectionner les problèmes qui vous intéressent :
  
  


• Les règles correspondantes sont listées dans le treeview.
  Pour chaque règle, le nombre de problèmes trouvés est indiqué comme illustré ci-dessous.
  
  


• Lorsque vous sélectionnez une règle : une page de documentation apparaît avec avec des informations détaillées.
  
  


• Dans la barre de navigation, cliquez sur "Problèmes trouvés" :
  Chaque objet présentant ce problème particulier est répertorié dans une hiérarchie de conteneurs.
  


• Lorsque vous sélectionnez un objet dans cette liste, les problèmes sont mis en évidence : Les problèmes sont mis en surbrillance dans le code
  
  

Voir également :

• Inspection du code – Que peut-on attendre de Visual Expert ?
• Règles d'analyse de sécurité du code PowerBuilder
• Protéger les applications PowerBuilder contre les attaques par injection de code
• Le guide complet pour sécuriser les applications PowerBuilder