Titre : | Modélisation de Vulnérabilités PHP pour une detection automatique dans le code source d’applications | Type de document : | projet fin études | Auteurs : | IBN SEDDIK Abderrahmane, Auteur | Langues : | Français (fre) | Catégories : | Sécurité des systèmes d'information
| Mots-clés : | SAST, Yag-Suite, open source, sécurité applicative, Owasp, PHP, PHP Code Sniffer,
Apprentissage automatique, réduction de faux positif. | Index. décimale : | 2002/18 | Résumé : | Ce mémoire constitue la synthèse de mon projet de fin d’études que j’ai réalisé au sein de
Yagaan Software Security, une entreprise qui produit la Yag-Suite, qui est une solution d’analyse
statique de sécurité des applications (SAST) avec un volet innovant qui porte sur l’apprentissage
automatique pour la réduction des faux positifs.
Dans sa perspective d’expansion commerciale, Yagaan a pour objectif de supporter plusieurs
langages de programmation et technologies, en commençant évidemment par les langages les plus
utilisés. D’où mon projet sur le PHP.
Ce projet concerne l’intégration du support de la détection des vulnérabilités, principalement
celles dans l’Owasp top 10, pour le langage PHP et ses principales technologies. Il a également pour
objectif, l’intégration des résultats de solutions SAST open source pour tester les capacités de l’outil à
faire de l’apprentissage automatique sur revues de sécurité réalisées par des outils externes.
Ma mission consistait donc d’un côté la mise en place, pour chaque vulnérabilité dans l’Owasp
top 10 les différents détecteurs qui permettraient de détecter les symptômes qui forment cette faille.
Ensuite faire les tests de validation de chaque modèle de vulnérabilité en les essayant sur un référentiel
conçus pour vérifier les performances dans la détection des vraies alertes (vrais positifs) et la capacité à
ignorer des cas qui se « rapprochent » du cas vraisemblable mais qui ne sont pour autant pas des vraies
alertes.
D’un autre côté assurer le développement d’outils qui permettent l’intégration dans la Yag-
Suite, une solution SAST externe, PHP Code Sniffer et la possibilité de mesurer les performances de
l’apprentissage automatique sur cet outil. Le but étant évidemment d’analyser des projets par l’outil
externe, revoir manuellement les alertes remontées. Puis prendre de simples échantillons de vrais et de
faux positifs pour nourrir l’algorithme de l’apprentissage. Et finalement mesurer les performances de
l’algorithmes et chercher les moyens de l’améliorer.
Enfin, après analyse des résultats et comparaison des performances avec les conclusions de la
revue manuelle de projets, détecter les faiblesses de détection et les corriger par la création de nouveaux
symptômes qui affineront à la fois l’apprentissage et la détection des vulnérabilités
|
Modélisation de Vulnérabilités PHP pour une detection automatique dans le code source d’applications [projet fin études] / IBN SEDDIK Abderrahmane, Auteur . - [s.d.]. Langues : Français ( fre) Catégories : | Sécurité des systèmes d'information
| Mots-clés : | SAST, Yag-Suite, open source, sécurité applicative, Owasp, PHP, PHP Code Sniffer,
Apprentissage automatique, réduction de faux positif. | Index. décimale : | 2002/18 | Résumé : | Ce mémoire constitue la synthèse de mon projet de fin d’études que j’ai réalisé au sein de
Yagaan Software Security, une entreprise qui produit la Yag-Suite, qui est une solution d’analyse
statique de sécurité des applications (SAST) avec un volet innovant qui porte sur l’apprentissage
automatique pour la réduction des faux positifs.
Dans sa perspective d’expansion commerciale, Yagaan a pour objectif de supporter plusieurs
langages de programmation et technologies, en commençant évidemment par les langages les plus
utilisés. D’où mon projet sur le PHP.
Ce projet concerne l’intégration du support de la détection des vulnérabilités, principalement
celles dans l’Owasp top 10, pour le langage PHP et ses principales technologies. Il a également pour
objectif, l’intégration des résultats de solutions SAST open source pour tester les capacités de l’outil à
faire de l’apprentissage automatique sur revues de sécurité réalisées par des outils externes.
Ma mission consistait donc d’un côté la mise en place, pour chaque vulnérabilité dans l’Owasp
top 10 les différents détecteurs qui permettraient de détecter les symptômes qui forment cette faille.
Ensuite faire les tests de validation de chaque modèle de vulnérabilité en les essayant sur un référentiel
conçus pour vérifier les performances dans la détection des vraies alertes (vrais positifs) et la capacité à
ignorer des cas qui se « rapprochent » du cas vraisemblable mais qui ne sont pour autant pas des vraies
alertes.
D’un autre côté assurer le développement d’outils qui permettent l’intégration dans la Yag-
Suite, une solution SAST externe, PHP Code Sniffer et la possibilité de mesurer les performances de
l’apprentissage automatique sur cet outil. Le but étant évidemment d’analyser des projets par l’outil
externe, revoir manuellement les alertes remontées. Puis prendre de simples échantillons de vrais et de
faux positifs pour nourrir l’algorithme de l’apprentissage. Et finalement mesurer les performances de
l’algorithmes et chercher les moyens de l’améliorer.
Enfin, après analyse des résultats et comparaison des performances avec les conclusions de la
revue manuelle de projets, détecter les faiblesses de détection et les corriger par la création de nouveaux
symptômes qui affineront à la fois l’apprentissage et la détection des vulnérabilités
|
|