Développement sécurisé avec Microsoft.Net et HP Fortify

Microsoft
MicrosoftSocial Media Lead at Microsoft en Microsoft
Développement sécurisé avec Microsoft.Net et HP Fortify
HP Fortify Software Security Center et Microsoft VS .Net Haleh Nematollahy Security Solutions Architect HP Enterprise Security Products Fortify Sécurité
LES APPLICATIONS CIBLES CYBERATTAQUE Networks Hardware Applications Intellectual Security Measures Property • • • • • • • • • • #mstechdays Sécurité Switch/Router security Firewalls Customer NIPS/NIDS Data VPN Net-Forensics Business Anti-Virus/Anti-Spam Processes DLP Host FW Host IPS/IDS Trade Vuln. Assessment tools Secrets
LE PROBLEME 84% *Gartner, 2013 #mstechdays Sécurité des brèches sont au niveau de l’application
SECURITÉ LE DEFI Sécurisation des applications héritées In-house Development Certification Nouvelles Releases Validation Comformité Achat de logiciels Securisées Outsourced Open source Commercial #mstechdays Sécurité
L'APPROCHE ACTUELLE> RÉACTIVE, CHÈRE 2 Quelqu'un construit logiciel avec des failles In-house Outsourced Commercial IT déploie le mauvais logiciel 1 3 Open source $ $$ 4 convaincre et payer un développeur pour corriger #mstechdays Sécurité Nous nous faisons pirater ou nous payons quelqu'un pour nous dire que notre code est mauvais
FIXING THINGS LATE IS 30x more costly to secure in production FRUSTRATING Cost 30X 15X 10X 5X 2X Requirements • Coding Integration/ component testing System testing Production Une fois qu’une application est en production, le cout de remédiassions est 30x plus élevé . Source: NIST #mstechdays Sécurité
APPROCHE INTÉRIMAIRE> PLUS SÛR ET RENTABLE In-house Outsourced Commercial Mettre en œuvre des points de sécurité pour déterminer si le logiciel est résistant avant de déployer en production Open source 4 Surveiller et protéger les logiciels fonctionnant en production #mstechdays 2 1 Logiciels existants ou nouvellement créés 3 Travailler avec les Développeurs afin de localiser et de corriger les vulnérabilités Sécurité Good code
HP FORTIFY SOFTWARE SECURITY Trouver et corriger les problèmes de sécurité dans le CENTER Fortify les applications contre les attaques développement, • Économiser la sécurité, les audits et les pen tests IN-HOUSE COMMERCIAL #mstechdays OUTSOURCED OPEN SOURCE • Réduit les risques de logiciel avec un minimum d'effort et de coût • Protèger les applications contre les attaques en supprimant les failles de sécurité lors du développement Sécurité
Fortify Solutions Static Analysis Dynamic Analysis Runtime Analysis Actual Attacks Source Code Mgt System Static Analysis Via Build Integration Dynamic Testing In QA Or Production Real-Time Protection Of Running Application Vulnerability Management Normalization Remediation IDE Plug-ins for MS Visual Studio Application Lifecycle (Scoring, Guidance) Correlate Target Vulnerabilities With Common Guidance and Scoring Vulnerability Database Correlation Defects, Metrics And KPIs Used To Measure Risk (Static, Dynamic, Runtime) Developers (onshore or offshore) Threat Intelligence Rules Management Development, Project and Management Stakeholders Hackers
SOFTWARE SCANNING PROCESS Check in Code Scheduled Check-out, Code Repository Build and Scan Build / Scan on TFS MS VS Developers .fpr file Static Code Analysis (SCA) Repeat as Necessary Upload Scan Results Developer Fixes Bug / Security Finding Bug Tracking using MS TFS Submit Findings to Bug Tracker Fortify SSC #mstechdays Scan Fix Auditor Reviews Results Sécurité Auditor /Security
#mstechdays Sécurité Design/UX/UI
HP FORTIFY SOFTWARE SECURITY CENTER ET MS VS .NET • Scan/Analyser Webgoat.Net avec Fortify SCA dans MS VS 2013 .Net • Réviser résultats dans VS 2013 • Fix SQLi, XSS dans VS 2013 • Scan/analyser avec Fortify SCA dans MS VS 2013 • Upload/télécharger les résultats sur Fortify Software Security Center • Démonstration de Software Security Center • Générer des Reports #mstechdays Sécurité Design/UX/UI
FIND, FIX AND FORTIFY HP Fortify Software Security Center 1 Find & Fix Trouver et corriger les problèmes de sécurité dans MS. Net développement 2 Fortify Fortifier les applications contre les attaques 3 Save Économiser le développement 4 Reduce Réduire le risque des applications #mstechdays Sécurité
Thank you Digital is business Merci Thank you
1 de 15

Développement sécurisé avec Microsoft.Net et HP Fortify

Descargar para leer sin conexión
Tecnología

Intégration de la sécurité applicative dans le cycle de vie logiciel: maîtrise des risques et réduction des coûts HP Fortify Static Code Analyzer, plug-in Microsoft.Net pour la détection automatique et l’éradication à la source, les erreurs de codage qui pourraient donner lieu à des brèches de sécurité. Session présentée par le partenaire : HP. Speakers : Haleh Nematollahy (HP)

Microsoft
MicrosoftSocial Media Lead at Microsoft en Microsoft

Recomendados

Secure Software Development Life Cycle (SSDLC) por
Secure Software Development Life Cycle (SSDLC)Secure Software Development Life Cycle (SSDLC)
Secure Software Development Life Cycle (SSDLC)Aymeric Lagier
7.8K vistas20 diapositivas
Atelier Technique MANAGE ENGINE ACSS 2018 por
Atelier Technique MANAGE ENGINE ACSS 2018Atelier Technique MANAGE ENGINE ACSS 2018
Atelier Technique MANAGE ENGINE ACSS 2018African Cyber Security Summit
303 vistas19 diapositivas
Kaspersky Security for Virtualization - protection des infrastructures virtue... por
Kaspersky Security for Virtualization - protection des infrastructures virtue...Kaspersky Security for Virtualization - protection des infrastructures virtue...
Kaspersky Security for Virtualization - protection des infrastructures virtue...UNIDEES Algérie
1.2K vistas19 diapositivas
Comment se protéger contre les menaces de CTB Locker (ransomware)? por
Comment se protéger contre les menaces de CTB Locker (ransomware)?Comment se protéger contre les menaces de CTB Locker (ransomware)?
Comment se protéger contre les menaces de CTB Locker (ransomware)?ATN Groupe
1.2K vistas27 diapositivas
Développement sécurisé por
Développement sécuriséDéveloppement sécurisé
Développement sécuriséfacemeshfacemesh
591 vistas43 diapositivas
SPbD @ IBM France Lab par Patrick MERLIN por
SPbD @ IBM France Lab par Patrick MERLINSPbD @ IBM France Lab par Patrick MERLIN
SPbD @ IBM France Lab par Patrick MERLINTelecomValley
710 vistas19 diapositivas

Más contenido relacionado

Destacado

Building a high quality+ products with SCA por
Building a high quality+ products with SCABuilding a high quality+ products with SCA
Building a high quality+ products with SCASuman Sourav
688 vistas19 diapositivas
P O K1 Presentation1( D E) por
P O K1 Presentation1( D E)P O K1 Presentation1( D E)
P O K1 Presentation1( D E)Kabbalah Centre
641 vistas11 diapositivas
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines Kunden por
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines KundenPersönliche Nachlese aus der Sicht eines IBM Business Partners und eines Kunden
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines KundenRoberto Mazzoni
1.1K vistas19 diapositivas
SCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENT por
SCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENTSCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENT
SCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENTScholars Private Primary School
336 vistas2 diapositivas
Auf der Suche nach "simplicity" in der Versicherungswelt por
Auf der Suche nach "simplicity" in der VersicherungsweltAuf der Suche nach "simplicity" in der Versicherungswelt
Auf der Suche nach "simplicity" in der VersicherungsweltUnic
1.8K vistas24 diapositivas
Plaquette certification por
Plaquette certificationPlaquette certification
Plaquette certificationTalentoday
472 vistas2 diapositivas

Destacado(20)

Building a high quality+ products with SCA por Suman Sourav
Building a high quality+ products with SCABuilding a high quality+ products with SCA
Building a high quality+ products with SCA
Suman Sourav688 vistas
P O K1 Presentation1( D E) por Kabbalah Centre
P O K1 Presentation1( D E)P O K1 Presentation1( D E)
P O K1 Presentation1( D E)
Kabbalah Centre641 vistas
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines Kunden por Roberto Mazzoni
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines KundenPersönliche Nachlese aus der Sicht eines IBM Business Partners und eines Kunden
Persönliche Nachlese aus der Sicht eines IBM Business Partners und eines Kunden
Roberto Mazzoni1.1K vistas
SCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENT por Scholars Private Primary School
SCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENTSCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENT
SCHOLARS PRIVATE PRIMARY SCHOOL REGISTRATION DOCUMENT
Scholars Private Primary School336 vistas
Auf der Suche nach "simplicity" in der Versicherungswelt por Unic
Auf der Suche nach "simplicity" in der VersicherungsweltAuf der Suche nach "simplicity" in der Versicherungswelt
Auf der Suche nach "simplicity" in der Versicherungswelt
Unic1.8K vistas
Plaquette certification por Talentoday
Plaquette certificationPlaquette certification
Plaquette certification
Talentoday472 vistas
Apresentação dos Resultados do Quarto Trimestre de 2008. por MRVRI
Apresentação dos Resultados do Quarto Trimestre de 2008.Apresentação dos Resultados do Quarto Trimestre de 2008.
Apresentação dos Resultados do Quarto Trimestre de 2008.
MRVRI508 vistas
Teleconferência de Resultados 4T12 por Kianne Paganini
Teleconferência de Resultados 4T12Teleconferência de Resultados 4T12
Teleconferência de Resultados 4T12
Kianne Paganini452 vistas
Das iPad in der klinischen Anwendung por aycandigital
Das iPad in der klinischen AnwendungDas iPad in der klinischen Anwendung
Das iPad in der klinischen Anwendung
aycandigital1.6K vistas
ApresentaçãO Resultados 3 T09 Final por LPS Brasil - Consultoria de Imóveis S.A.
ApresentaçãO Resultados 3 T09 FinalApresentaçãO Resultados 3 T09 Final
ApresentaçãO Resultados 3 T09 Final
LPS Brasil - Consultoria de Imóveis S.A.514 vistas
Präsentation_OffLabelUse1 [Automatisch gespeichert] por Dr. Thierry Oscar Edoh
Präsentation_OffLabelUse1 [Automatisch gespeichert]Präsentation_OffLabelUse1 [Automatisch gespeichert]
Präsentation_OffLabelUse1 [Automatisch gespeichert]
Dr. Thierry Oscar Edoh1K vistas
SEMSEO 2012 - Links after Penguin por Saša Ebach
SEMSEO 2012 - Links after PenguinSEMSEO 2012 - Links after Penguin
SEMSEO 2012 - Links after Penguin
Saša Ebach3.5K vistas
Gründen. Im mobilen Umfeld. por Moritz Haarmann
Gründen. Im mobilen Umfeld.Gründen. Im mobilen Umfeld.
Gründen. Im mobilen Umfeld.
Moritz Haarmann2.3K vistas
Ground equipment por carlosleonis
Ground equipmentGround equipment
Ground equipment
carlosleonis1.2K vistas
Arquivos e gestão das organizações: um recurso imprescindível. por Paulo Leitao
Arquivos e gestão das organizações: um recurso imprescindível.Arquivos e gestão das organizações: um recurso imprescindível.
Arquivos e gestão das organizações: um recurso imprescindível.
Paulo Leitao807 vistas
Teleconferência de Resultados 4T11 por Kianne Paganini
Teleconferência de Resultados 4T11Teleconferência de Resultados 4T11
Teleconferência de Resultados 4T11
Kianne Paganini455 vistas
Unitymedia SoM Kompetenz por Interactive Marketing Group GmbH
Unitymedia SoM KompetenzUnitymedia SoM Kompetenz
Unitymedia SoM Kompetenz
Interactive Marketing Group GmbH1.1K vistas
A presentação 3 t13 - port - v0511_v2 (1) por Gafisa RI !
A presentação 3 t13 - port - v0511_v2 (1)A presentação 3 t13 - port - v0511_v2 (1)
A presentação 3 t13 - port - v0511_v2 (1)
Gafisa RI !3.7K vistas
Gründen - im mobilen Umfeld por Moritz Haarmann
Gründen - im mobilen UmfeldGründen - im mobilen Umfeld
Gründen - im mobilen Umfeld
Moritz Haarmann659 vistas
Apresentação Resultados 3T08 por LPS Brasil - Consultoria de Imóveis S.A.
Apresentação Resultados 3T08Apresentação Resultados 3T08
Apresentação Resultados 3T08
LPS Brasil - Consultoria de Imóveis S.A.257 vistas

Similar a Développement sécurisé avec Microsoft.Net et HP Fortify

IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source por
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open SourceIBM France Lab
286 vistas21 diapositivas
Sécurité dans les contrats d'externalisation de services de développement et ... por
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Antonio Fontes
1.1K vistas65 diapositivas
F-Secure Protection Services for Business por
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for BusinessNRC
114 vistas8 diapositivas
IKare Vulnerability Scanner - Datasheet FR por
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRITrust - Cybersecurity as a Service
363 vistas4 diapositivas
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 por
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Thierry Matusiak
1.2K vistas25 diapositivas
20090929 04 - Securité applicative, hacking et risque applicatif por
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatifLeClubQualiteLogicielle
99 vistas39 diapositivas

Similar a Développement sécurisé avec Microsoft.Net et HP Fortify(20)

IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source por IBM France Lab
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open SourceIBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM Cloud Paris meetup 20180329 - Sécurité des apps dev & Open Source
IBM France Lab286 vistas
Sécurité dans les contrats d'externalisation de services de développement et ... por Antonio Fontes
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
Antonio Fontes1.1K vistas
F-Secure Protection Services for Business por NRC
F-Secure Protection Services for BusinessF-Secure Protection Services for Business
F-Secure Protection Services for Business
NRC114 vistas
IKare Vulnerability Scanner - Datasheet FR por ITrust - Cybersecurity as a Service
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FR
ITrust - Cybersecurity as a Service363 vistas
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 por Thierry Matusiak
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016 Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
Thierry Matusiak1.2K vistas
20090929 04 - Securité applicative, hacking et risque applicatif por LeClubQualiteLogicielle
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
LeClubQualiteLogicielle99 vistas
Réussir facilement sa migration antivirus por NRC
Réussir facilement sa migration antivirusRéussir facilement sa migration antivirus
Réussir facilement sa migration antivirus
NRC1.3K vistas
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique por Patrick Guimonet
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
Patrick Guimonet170 vistas
Sécurisation d'un site internet por waggaland
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
waggaland600 vistas
Partner pot.pptx por blackmambaettijean
Partner pot.pptxPartner pot.pptx
Partner pot.pptx
blackmambaettijean5 vistas
Symantec Code Signing (FR) por Symantec Website Security
Symantec Code Signing (FR)Symantec Code Signing (FR)
Symantec Code Signing (FR)
Symantec Website Security751 vistas
[Infographie] Sécurité des applications : pourquoi et comment ? por Advens
[Infographie] Sécurité des applications : pourquoi et comment ?[Infographie] Sécurité des applications : pourquoi et comment ?
[Infographie] Sécurité des applications : pourquoi et comment ?
Advens947 vistas
La voie vers une application sécurisée por Rational_France
La voie vers une application sécuriséeLa voie vers une application sécurisée
La voie vers une application sécurisée
Rational_France1K vistas
Guide de vente NeoVAD 2019. por Jérôme Boulon
Guide de vente NeoVAD 2019.Guide de vente NeoVAD 2019.
Guide de vente NeoVAD 2019.
Jérôme Boulon162 vistas
Assurance Qualité logicielle por Sylvain Leroy
Assurance Qualité logicielleAssurance Qualité logicielle
Assurance Qualité logicielle
Sylvain Leroy2.1K vistas
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau por ISACA Chapitre de Québec
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
ISACA Chapitre de Québec725 vistas
Dev ops Monitoring por Michel HUBERT
Dev ops MonitoringDev ops Monitoring
Dev ops Monitoring
Michel HUBERT1.1K vistas
Qualite1 por Rachid Lajouad
Qualite1Qualite1
Qualite1
Rachid Lajouad2.2K vistas
Deploiement du pare feu checkpoint gaia r77 por Mame Cheikh Ibra Niang
Deploiement du pare feu checkpoint gaia r77Deploiement du pare feu checkpoint gaia r77
Deploiement du pare feu checkpoint gaia r77
Mame Cheikh Ibra Niang2.3K vistas
La sécurité endpoint : efficace, mais pas efficient por ITrust - Cybersecurity as a Service
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
ITrust - Cybersecurity as a Service73 vistas

Más de Microsoft

Uwp + Xamarin : Du nouveau en terre du milieu por
Uwp + Xamarin : Du nouveau en terre du milieuUwp + Xamarin : Du nouveau en terre du milieu
Uwp + Xamarin : Du nouveau en terre du milieuMicrosoft
1.7K vistas50 diapositivas
La Blockchain pas à PaaS por
La Blockchain pas à PaaSLa Blockchain pas à PaaS
La Blockchain pas à PaaSMicrosoft
1.6K vistas36 diapositivas
Tester, Monitorer et Déployer son application mobile por
Tester, Monitorer et Déployer son application mobileTester, Monitorer et Déployer son application mobile
Tester, Monitorer et Déployer son application mobileMicrosoft
1.1K vistas26 diapositivas
Windows 10, un an après – Nouveautés & Démo por
Windows 10, un an après – Nouveautés & Démo Windows 10, un an après – Nouveautés & Démo
Windows 10, un an après – Nouveautés & Démo Microsoft
823 vistas18 diapositivas
Prenez votre pied avec les bots et cognitive services. por
Prenez votre pied avec les bots et cognitive services.Prenez votre pied avec les bots et cognitive services.
Prenez votre pied avec les bots et cognitive services.Microsoft
915 vistas21 diapositivas
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy... por
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...Microsoft
852 vistas37 diapositivas

Más de Microsoft(20)

Uwp + Xamarin : Du nouveau en terre du milieu por Microsoft
Uwp + Xamarin : Du nouveau en terre du milieuUwp + Xamarin : Du nouveau en terre du milieu
Uwp + Xamarin : Du nouveau en terre du milieu
Microsoft1.7K vistas
La Blockchain pas à PaaS por Microsoft
La Blockchain pas à PaaSLa Blockchain pas à PaaS
La Blockchain pas à PaaS
Microsoft1.6K vistas
Tester, Monitorer et Déployer son application mobile por Microsoft
Tester, Monitorer et Déployer son application mobileTester, Monitorer et Déployer son application mobile
Tester, Monitorer et Déployer son application mobile
Microsoft1.1K vistas
Windows 10, un an après – Nouveautés & Démo por Microsoft
Windows 10, un an après – Nouveautés & Démo Windows 10, un an après – Nouveautés & Démo
Windows 10, un an après – Nouveautés & Démo
Microsoft823 vistas
Prenez votre pied avec les bots et cognitive services. por Microsoft
Prenez votre pied avec les bots et cognitive services.Prenez votre pied avec les bots et cognitive services.
Prenez votre pied avec les bots et cognitive services.
Microsoft915 vistas
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy... por Microsoft
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
Microsoft852 vistas
Créer un bot de A à Z por Microsoft
Créer un bot de A à ZCréer un bot de A à Z
Créer un bot de A à Z
Microsoft1.3K vistas
Microsoft Composition, pierre angulaire de vos applications ? por Microsoft
Microsoft Composition, pierre angulaire de vos applications ?Microsoft Composition, pierre angulaire de vos applications ?
Microsoft Composition, pierre angulaire de vos applications ?
Microsoft625 vistas
Les nouveautés SQL Server 2016 por Microsoft
Les nouveautés SQL Server 2016Les nouveautés SQL Server 2016
Les nouveautés SQL Server 2016
Microsoft451 vistas
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ? por Microsoft
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
Microsoft306 vistas
Administration et supervision depuis le Cloud avec Azure Logs Analytics por Microsoft
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsAdministration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs Analytics
Microsoft1K vistas
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag... por Microsoft
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
Microsoft498 vistas
Plan de Reprise d'Activité avec Azure Site Recovery por Microsoft
Plan de Reprise d'Activité avec Azure Site RecoveryPlan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site Recovery
Microsoft920 vistas
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo... por Microsoft
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Microsoft500 vistas
Transformation de la représentation : De la VR à la RA, aller & retour. por Microsoft
Transformation de la représentation : De la VR à la RA, aller & retour.Transformation de la représentation : De la VR à la RA, aller & retour.
Transformation de la représentation : De la VR à la RA, aller & retour.
Microsoft469 vistas
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça... por Microsoft
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Microsoft332 vistas
Introduction à ASP.NET Core por Microsoft
Introduction à ASP.NET CoreIntroduction à ASP.NET Core
Introduction à ASP.NET Core
Microsoft743 vistas
Open Source et Microsoft Azure, rêve ou réalité ? por Microsoft
Open Source et Microsoft Azure, rêve ou réalité ?Open Source et Microsoft Azure, rêve ou réalité ?
Open Source et Microsoft Azure, rêve ou réalité ?
Microsoft453 vistas
Comment développer sur la console Xbox One avec une application Universal Win... por Microsoft
Comment développer sur la console Xbox One avec une application Universal Win...Comment développer sur la console Xbox One avec une application Universal Win...
Comment développer sur la console Xbox One avec une application Universal Win...
Microsoft501 vistas
Azure Service Fabric pour les développeurs por Microsoft
Azure Service Fabric pour les développeursAzure Service Fabric pour les développeurs
Azure Service Fabric pour les développeurs
Microsoft354 vistas

Développement sécurisé avec Microsoft.Net et HP Fortify

  • 2. HP Fortify Software Security Center et Microsoft VS .Net Haleh Nematollahy Security Solutions Architect HP Enterprise Security Products Fortify Sécurité
  • 3. LES APPLICATIONS CIBLES CYBERATTAQUE Networks Hardware Applications Intellectual Security Measures Property • • • • • • • • • • #mstechdays Sécurité Switch/Router security Firewalls Customer NIPS/NIDS Data VPN Net-Forensics Business Anti-Virus/Anti-Spam Processes DLP Host FW Host IPS/IDS Trade Vuln. Assessment tools Secrets
  • 4. LE PROBLEME 84% *Gartner, 2013 #mstechdays Sécurité des brèches sont au niveau de l’application
  • 5. SECURITÉ LE DEFI Sécurisation des applications héritées In-house Development Certification Nouvelles Releases Validation Comformité Achat de logiciels Securisées Outsourced Open source Commercial #mstechdays Sécurité
  • 6. L'APPROCHE ACTUELLE> RÉACTIVE, CHÈRE 2 Quelqu'un construit logiciel avec des failles In-house Outsourced Commercial IT déploie le mauvais logiciel 1 3 Open source $ $$ 4 convaincre et payer un développeur pour corriger #mstechdays Sécurité Nous nous faisons pirater ou nous payons quelqu'un pour nous dire que notre code est mauvais
  • 7. FIXING THINGS LATE IS 30x more costly to secure in production FRUSTRATING Cost 30X 15X 10X 5X 2X Requirements • Coding Integration/ component testing System testing Production Une fois qu’une application est en production, le cout de remédiassions est 30x plus élevé . Source: NIST #mstechdays Sécurité
  • 8. APPROCHE INTÉRIMAIRE> PLUS SÛR ET RENTABLE In-house Outsourced Commercial Mettre en œuvre des points de sécurité pour déterminer si le logiciel est résistant avant de déployer en production Open source 4 Surveiller et protéger les logiciels fonctionnant en production #mstechdays 2 1 Logiciels existants ou nouvellement créés 3 Travailler avec les Développeurs afin de localiser et de corriger les vulnérabilités Sécurité Good code
  • 9. HP FORTIFY SOFTWARE SECURITY Trouver et corriger les problèmes de sécurité dans le CENTER Fortify les applications contre les attaques développement, • Économiser la sécurité, les audits et les pen tests IN-HOUSE COMMERCIAL #mstechdays OUTSOURCED OPEN SOURCE • Réduit les risques de logiciel avec un minimum d'effort et de coût • Protèger les applications contre les attaques en supprimant les failles de sécurité lors du développement Sécurité
  • 10. Fortify Solutions Static Analysis Dynamic Analysis Runtime Analysis Actual Attacks Source Code Mgt System Static Analysis Via Build Integration Dynamic Testing In QA Or Production Real-Time Protection Of Running Application Vulnerability Management Normalization Remediation IDE Plug-ins for MS Visual Studio Application Lifecycle (Scoring, Guidance) Correlate Target Vulnerabilities With Common Guidance and Scoring Vulnerability Database Correlation Defects, Metrics And KPIs Used To Measure Risk (Static, Dynamic, Runtime) Developers (onshore or offshore) Threat Intelligence Rules Management Development, Project and Management Stakeholders Hackers
  • 11. SOFTWARE SCANNING PROCESS Check in Code Scheduled Check-out, Code Repository Build and Scan Build / Scan on TFS MS VS Developers .fpr file Static Code Analysis (SCA) Repeat as Necessary Upload Scan Results Developer Fixes Bug / Security Finding Bug Tracking using MS TFS Submit Findings to Bug Tracker Fortify SSC #mstechdays Scan Fix Auditor Reviews Results Sécurité Auditor /Security
  • 13. HP FORTIFY SOFTWARE SECURITY CENTER ET MS VS .NET • Scan/Analyser Webgoat.Net avec Fortify SCA dans MS VS 2013 .Net • Réviser résultats dans VS 2013 • Fix SQLi, XSS dans VS 2013 • Scan/analyser avec Fortify SCA dans MS VS 2013 • Upload/télécharger les résultats sur Fortify Software Security Center • Démonstration de Software Security Center • Générer des Reports #mstechdays Sécurité Design/UX/UI
  • 14. FIND, FIX AND FORTIFY HP Fortify Software Security Center 1 Find & Fix Trouver et corriger les problèmes de sécurité dans MS. Net développement 2 Fortify Fortifier les applications contre les attaques 3 Save Économiser le développement 4 Reduce Réduire le risque des applications #mstechdays Sécurité

Notas del editor

  1. Hi, my name is [Name]. I work as a [Title/ Role] at HP, in the Enterprise Security Products business unit. Today, I’ll be talking about application security and why governments and modern enterprises need it. What is application security? Simply put, it is about ensuring that every single line of code is secure and every single software application– whether it is built for the desktop, cloud or mobile device— is safe from cyber attackers and hackers. The goal here is about eliminating exploitablesecurity risk in software at the application code level, making it immune to attack even if intruders get past perimeter defenses.
  2. As an industry we have become much more effective at protection at the network and operating systems level. From NIPS, AV and DLP, these security have served a purpose and continue to do so. However, the bad guys continue to innovate, infiltrate and attack. They are increasingly attacking the new ‘weakest link’….the applications. According to Gartner, 84% new of breaches take advantage of threat that are associated with the applications. A February 2013 Frost & Sullivan study released in Information Week stated that 69% of CISOs listed application security as their biggest threatThe are a number of reasons why applications are the new weakest link 3 key takeaways are:The proliferation of software apps. From legacy SW to mobile apps for your iPhone, security teams now have to try to keep up with fast application delivery. Not all applications are tested before launched.Security teams have not historically been responsible for software securityWhen you combine this with the increased leverage of attack tools like Zeus, or the favorite of Anonymous…..something different is going on and we need to pay attention to these changes if we are going to improve our success rate. The challenge then centers on applications and visibility into the risks…
  3. Fortify gives you advanced technologies to ensure your applications are secure. Fortify inspects applications at the source code level (static testing) and while they are running (dynamic testing). Fortify supports more languages than any other application security vendor with significant strengths in the area of mobile application security. But it’s not just built for custom applications, Fortify and determine if vulnerabilities exist in commercial, custom and open source activities. And even more differentiated, Fortify can be delivered as a software you purchase or as a service. With unmatched flexibility and depth of coverage, Fortify ensures you have a world class application security program in place.
  4. Fortify gives you advanced technologies to ensure your applications are secure. Fortify inspects applications at the source code level (static testing) and while they are running (dynamic testing). Fortify supports more languages than any other application security vendor with significant strengths in the area of mobile application security. But it’s not just built for custom applications, Fortify and determine if vulnerabilities exist in commercial, custom and open source activities. And even more differentiated, Fortify can be delivered as a software you purchase or as a service. With unmatched flexibility and depth of coverage, Fortify ensures you have a world class application security program in place.