Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 1 au 3 juin 2022.

Lost in translation: Comblez le fossé entre AppSec et développeurs avec CodeQLXavier René-Corail


Date : 03 June 2022 à 11:15 — 45 min.

Les failles de sécurité dans le logiciel open source peuvent avoir des effets catastrophiques pour les dizaines de millions de développeurs et de services qui en dépendent. La communauté a récemment été prise de court par Log4Shell. Comment une instance d’un pattern pourtant connu et décrit depuis 2016, peut se retrouver 5 ans plus tard dans une librairie aussi utilisée que Log4J ! Pouvons-nous faire mieux et réparer ce chaînon manquant, et faire en sorte que le travail des chercheurs en sécurité se traduise dans les faits par un code plus sécurisé ? Ceci est valide autant pour l’open source que dans nos entreprises, entre nos équipes AppSec et les développeurs. Le GitHub Security Lab a été créé avec cette mission de réparer le pont entre security researchers et développeurs open source. Et pour cela, CodeQL est un outil majeur de notre attirail. CodeQL peut accélérer votre travail, le traduire et le déployer concrètement chez les développeurs, et enfin rapprocher les deux communautés pour collaborer sur la sécurité du code.