#sécurité #développement

Suite à l'évocation du problème par @lanodan, je me suis rendu compte que je n'avais jamais couché par écrit cette anecdote sur une faille de sécurité de ZeroBin.

Cela me semble suffisamment édifiant pour servir de leçon, et cela ma rendu terriblement humble sur la sécurité.

Autant en faire profiter tout le monde: sebsauvage.net/wiki/doku.php?i

@sebsauvage @lanodan
> Plus vous augmentez les dépendances de votre logiciel, plus vous augmentez les risques de sécurité.

Par contre, tu doit pas gérer la sécurité de tout ton système et l'effort est "factoriser" (chaque projet qui utilise la lib peut potentiellement peut investir temps et/ou argent pour la securiser), non?
Ça me paraît pas simple, il y a aussi un compromis entre popularité donc sûrement beaucoup plus visé par des attaques mais beaucoup plus robuste.

· · Web · 2 · 0 · 1

@tradjincal

effectivement, mais c'est là où il faut vraiment balancer:

Plus utilisé = plus examiné/scruté donc moins de failles ?
Plus utilisé = cible plus intéressante ?
Plus utilisé = plus de fonctionnalité (log4j) = syndrome du kitchen sink = failles de sécurité (log4j est censé loguer, pourquoi il a des fonctions pour télécharger+exécuter ?)

Donc le choix est délicat.

@lanodan

@tradjincal @sebsauvage Popularité n'a aucune corrélation avec la robustesse.
Wordpress est un nid à merde en terme de sécu' mais une énorme majorité des sites web l'utilisent.

Et par contre pour le truc des dépendances, malheureusement ça dépend du language et de la culture.
En C, C++, python, … les libs sont souvent considérée comment étant dans le système et tu peux considérer que ta partie c'est juste appeler les bonnes fonctions et faire un minimum de bon choix de libs.
Y'en aurat toujours pour aller faire du vendoring de leur dépendances par contre, notamment avec la culture des monorepo (coucou Google et les trucs proprio).

Par contre en Java, NodeJS, Rust, Go, … c'est au devs de gérer ce merdier (coucou leftpad, coucou log4j) et c'est souvent juste pas géré.
Par example je considère que dependabot est une bombe à retardement.
Sign in to participate in the conversation
La Quadrature du Net - Mastodon - Media Fédéré

Mamot.fr est un serveur Mastodon francophone, géré par La Quadrature du Net.