Discussion :

[bfourrier300]

Bonjour ,


je cherche à démontrer à mon client que mon logiciel que je lui fournis ne contient pas de code compromis.
pour info mon logiciel reste en environnement de tests, il n'entre jamais en environnemnet de prod.

- je lui ai déjà indiqué qu'avec les user access rights approprié , il pouvait bloquer beaucoup d'actions malveillantes si j'avais introduit du code malvaillant pour supprimer / deleter des fichiers ou modifier des droits.

- mon logiciel ne stocke pas d'info clientes. il ne fait que qu'injecter et controler des entrées / sorties de messages et fichiers.


pourriez vous m'aider à identifier toutes les commandes possibles qui déclencherait une exécution de code.., je pourrais alors faire un grep de toutes ces commandes sur mon source code ?

ou dois je utiliser une scanner comme loki ?

merci pour votre aide

[gangsoleil]

Bonjour,

Le plus sécurisé est d'utiliser un scanner de code, mais même en faisant ça rien ne dit que ton client sera rassuré.

Essaye de discuter avec lui, lui montrer (par exemple) loki et lui expliquer ce que ça fait, et voir s'il est rassuré par ça ou pas. Si pas, alors tu pourras voir avec lui ce qui le rassurerait, et qui serait acceptable pour lui.

[bfourrier300]

Merci beacoup Gangsoleil,

j'ai effectivement planché cet aprem sur le net et suis tombée sur Loki aussi ..je vais lui en parler mais si je comprends bien ce que fait Loki c'est trouvé des traces d'une attaque déjà passée?
ça permettrait de rassurer mon client sur le fait que mon logiciel n'a jamais cherché à faire du Hacking ..


je pensais donc proposer au client d'utiliser loki pour scanné le serveur et réseau où est installé mon logiciel

et ensuite de mon coté utiliser loki pour scanner le source code et rechercher les expressions régulières pouvant être soupçonnées d'appartenir à une action malware, mais comment être exhaustif . le plus possible... ?
je pourrais ainsi lui sortir un rapport de résultat du scanner

loki est free et THor de la même société à l'air plus complet mais payant :-/

dans l'attente de ta réponse
bonne nuit ;-)

[gangsoleil]

Hello,

Je ne connais pas spécialement loki, j'ai vraiment juste regardé très très vite. Il existe de nombreux analyseurs, chacun ayant son axe (la sécurité en est un, mais pas le seul) -- et c'est pour ça que tu dois discuter avec ton client pour savoir lequel aurait sa confiance, et combien il est prêt à payer pour ça.

quelques mots clés pour te renseigner : scan statique, scan dynamique, pentest, bug bounty

[bfourrier300]

Merci