Le code source peut être propriétaire ou libre, et les contrats de licence reflètent souvent cette distinction. Afin d'identifier les vulnérabilités en matière de cybersécurité, les pratiques de codage non sécurisées et les failles de programmation, les entreprises qui souhaitent atténuer les risques de sécurité et assurer la continuité de leurs activités critiques doivent donc accorder une attention particulière à cette question importante.
En tant que méthodologie de test en boîte blanche, l'analyse de code source permet d'identifier les vulnérabilités dans des domaines où les techniques de test en boîte noire ou grise sont difficiles à détecter, voire échouent, comme les pratiques de codage non sécurisées, les problèmes de cryptographie, les exceptions inappropriées et les erreurs dangereuses ou les problèmes de logique potentiels. En d'autres termes, l'analyse de code source se concentre sur les détails d'implémentation du code et les principes qui sous-tendent son exécution. Cette approche est particulièrement adaptée à une analyse de code exhaustive, notamment en ce qui concerne les défauts et les anomalies dans des scénarios atypiques. De plus, combinée aux tests d'intrusion, elle permet de traiter efficacement la plupart des vulnérabilités applicatives, un aspect particulièrement pertinent pour les technologies émergentes telles que la 5G.
Dans un réseau 5G, les composants sont des ressources matérielles et logicielles, contrôlées par le code source écrit par les développeurs pour assurer la transmission des données et la communication réseau. Les réseaux définis par logiciel (SDN), la virtualisation des fonctions réseau (NFV), le découpage du réseau (network slicing) et plusieurs autres innovations 5G sont le fruit de ce code source. Dans ce contexte, la revue de code source est une bonne pratique du secteur pour garantir la cybersécurité des logiciels et est largement adoptée par de nombreux éditeurs de logiciels. S'appuyant sur les spécifications du CERT et la liste des faiblesses communes (CWE), ZTE a élaboré un ensemble de spécifications de codage sécurisé comme norme de revue de code source, encore plus stricte et rigoureuse. De plus, elle est utilisée comme mesure obligatoire pour détecter et atténuer les risques.
Comment effectuer une revue de code source.
En résumé, la revue de code source est un processus qui combine vérifications manuelles et outils automatisés. Lors du développement, réalisé par les équipes opérationnelles, la revue de code, les tests d'acceptation et les tests système sont essentiels pour limiter les risques. Les outils d'analyse statique de code automatisés offrent une méthode efficace pour analyser le code source. Nous intégrons ces outils à notre cycle de développement afin d'aider les développeurs à identifier les défauts et les vulnérabilités. Grâce à une analyse manuelle du code, étape obligatoire avant la finalisation, nous pouvons identifier la plupart des faux positifs et des faux négatifs.
Lors d'une revue de code manuelle, la simple lecture du code ne suffit pas à détecter les erreurs ; une exécution et une analyse plus approfondies sont nécessaires. Le processus de revue de code de ZTE comprend plusieurs analyses. Il commence par vérifier si la conception globale est conforme aux spécifications du projet et examine si la section de code concernée fonctionne exactement comme prévu par les développeurs, si sa cohérence est garantie et si les principes de sécurité intégrés et par défaut ont été respectés.
Un examen indépendant du code source, effectué par une seconde ligne de défense, constitue une mesure de sécurité supplémentaire. Il comprend des vérifications manuelles ligne par ligne et l'utilisation d'outils automatisés pour évaluer plus précisément la qualité du code. Le département de sécurité de ZTE et son laboratoire de cybersécurité constituent cette seconde ligne de défense.
Les développeurs sont chargés d'analyser si toutes les caractéristiques attendues sont maintenues en cas d'erreurs inattendues lors de l'exécution. Ils effectuent également des tests et testent toutes les valeurs possibles afin de vérifier qu'aucune erreur exploitable par un attaquant n'est déclenchée. En cas de panne, ils vérifient la résilience du code face à une attaque inattendue.
Nous avons réussi haut la main les analyses réalisées par plusieurs organismes externes.
Plus tôt cette année, grâce à une collaboration fructueuse avec des leaders du secteur de la cybersécurité, le code source du système d'exploitation pour routeurs de nouvelle génération (ROSng) de ZTE, qui fournit un support puissant pour le réseau de transport 5G en termes de protocoles réseau, a été examiné par une entreprise leader du secteur de la cybersécurité au Laboratoire européen de cybersécurité à Bruxelles.
Parallèlement, la plateforme d'automatisation réseau élastique (ZENAP) de ZTE, qui prend en charge la mise en œuvre de la R&D, le déploiement commercial, le provisionnement, ainsi que l'exploitation et la maintenance des applications SDN/NFV/5G/IoT, a été évaluée par NETAS dans son laboratoire italien de Rome. Les résultats des tests ont incité l'équipe R&D à repenser la conception et le développement de la sécurité. En tant que fournisseur leader engagé dans l'amélioration continue de ses produits, ZTE exploite tous les résultats d'évaluation, internes et externes, afin d'optimiser constamment ses pratiques de développement.
La cybersécurité, une priorité absolue pour la R&D.
La cybersécurité est une priorité absolue pour la R&D et les services de ZTE. C'est pourquoi l'entreprise s'efforce constamment d'innover en combinant la R&D à la collaboration avec des partenaires de premier plan afin de renforcer sa cybersécurité. L'écosystème des télécommunications comprend des acteurs clés et irremplaçables, tels que les développeurs, les analystes et autres professionnels, qui œuvrent de concert pour garantir la sécurité du code source. Un réseau sécurisé exige la collaboration de tous les acteurs pour élever les standards de la cybersécurité, et ZTE s'engage à renforcer la collaboration et la communication afin de construire un avenir numérique meilleur pour tous.
Auteur : Alessandro Bassano, directeur du centre et responsable de la cybersécurité chez ZTE en Italie.
