formations/diiage/C3-2_Sécurité_SI/Sécurité_Informatique_Entreprise/tp.md

TP - Réaliser un audit de code

Objectifs

• Découvrir les différents critères d'analyse d'une base de code tel que préconisés par l'OWASP
• S'initier à la démarche d'audit de code en reproduisant la démarche proposée par le référentiel ASVS sur une application open-source.

Contexte et contraintes

• L'audit devra suivre la méthodologie et la classification préconisées par le référentiel ASVS. À vous d'en prendre connaissance avant de vous lancer dans l'audit réel.
• Vous pouvez sélectionner n'importe qu'elle application Web à condition qu'elle soit open-source et/ou que vous pouvez fournir un lien vers le dépôt des sources (GIT, SVN, Mercurial...) avec le numéro de version que vous avez audité.
• Un exemple de rapport d'audit de code est disponible dans votre espace de partage afin de vous aider à construire votre document.

## Production attendue

Il est bien entendu que je n'attend pas de vous un audit d'une application complète. Dans le temps alloué au TP ce serait impossible (sauf si vous êtes réellement des surdoués dans ce domaine...). Prenez le temps de lire le référentiel dans son ensemble et focalisez vous sur les points qui concernent des failles applicatives.

• Un rapport d'audit de sécurité calqué sur le modèle fourni avec le sujet de ce TP. Pensez bien à identifier l'application testée et sa version. Prenez le temps de rédiger, la qualité primera sur la quantité.

A l'issu de ce TP, nous ferons un debrief ensemble sur les difficultés que vous avez rencontré et sur les points d'incompréhension.