Observations
En mars, après avoir participé à une table ronde avec des experts du secteur, j’ai pris conscience d’un problème commun de plus en plus répandu dans les environnements des clients. En effet, les organisations, tout en essayant de renforcer leur infrastructure, créent un décalage plus important entre leurs propres pratiques en matière de sécurité et d’assurance qualité en déployant des politiques qui ne sont pas pleinement visibles par tous les départements potentiellement concernés.
Quelles sont les différences entre la sécurité des applications et l’assurance qualité?
D’après mon expérience, l’AST est fondamentalement différent des autres types de tests d’AQ tels que les tests fonctionnels et de performance. Par conséquent, les équipes d’assurance qualité ont du mal à soutenir l’AST, ce qui entraîne une déconnexion lorsqu’il s’agit d’envisager ou de faire avancer de nouvelles politiques/changements en matière de sécurité.
Dans les tests fonctionnels et de performance, les résultats attendus des cas de test sont documentés et scriptés avant le début des tests, et l’équipe d’assurance qualité vérifie si les résultats attendus correspondent aux résultats réels.
La sécurité se concentre souvent sur les vulnérabilités ou les faiblesses du logiciel qui pourraient conduire à une mauvaise utilisation ou à une exploitation.
La sécurité peut-elle être considérée comme une question d’AQ?
Les défauts liés à la sécurité (sous quelque forme que ce soit) doivent également être considérés comme un problème d’assurance qualité. Les vulnérabilités de sécurité se trouvent plus souvent dans les logiciels présentant des défauts et des failles.
La mauvaise qualité du code entraîne un comportement imprévisible :
- Pour un utilisateur, cela se manifeste souvent par une convivialité médiocre ou frustrante.
- Pour un attaquant, c’est l’occasion de stresser le système de manière inattendue.
La qualité et la sécurité logicielle ne doivent pas être considérées comme deux entités différentes, mais plutôt comme les deux faces d’une même pratique, car le bogue qui se manifeste aujourd’hui comme une défaillance du système pourrait être une vulnérabilité exploitée demain. La sécurité logicielle n’est qu’un autre aspect important de la création de bons logiciels.
Comment l’AST et l’AQ peuvent-ils mieux travailler ensemble?
Les équipes d’AQ et de sécurité définissent des exigences non fonctionnelles auxquelles les développeurs doivent se conformer. Ces exigences non fonctionnelles sont la base de la constitution d’équipes de développement soucieuses de la sécurité, et lorsque les équipes d’AQ travaillent main dans la main avec l’équipe de sécurité dès le début, cela peut être très puissant.
Les tests de sécurité automatisés sont considérés comme un élément essentiel de ce processus, car la direction du développement doit reconnaître que les défauts de qualité sont des points d’entrée pour les vulnérabilités.
Les méthodes de test de sécurité SAST, DAST et interactive (IAST) présentent des avantages et des inconvénients, c’est pourquoi plusieurs méthodes sont souvent appliquées aux applications. Appliquée avec des méthodologies d’AQ et de performance, une organisation peut se mettre sur la voie du succès.
Que pensez-vous des liens entre sécurité et assurance qualité logiciel? Commentez et dites-nous comment vous gérez cela !
