Le SSDLC (Secure Software Development Life Cycle) est une approche du développement logiciel qui intègre des pratiques de sécurité à chaque étape du cycle de vie du logiciel, de la conception à la mise en production et à la maintenance. Lorsque l’on intègre la revue de code (ou Code Review) dans le SSDLC, il est important d’adopter une méthodologie structurée qui prend en compte les spécificités du projet et les exigences de sécurité.

Voici les concepts principaux à prendre en compte :

1. Planification de la revue de code

Chaque revue de code doit être planifiée avec soin, en tenant compte des risques, des priorités de l’entreprise et des ressources disponibles. Il est essentiel de définir clairement les objectifs de la revue, tels que la sécurité, la conformité ou le style de programmation. Il faut également considérer le contexte du logiciel : par exemple, les applications de paiement exigent des normes de sécurité beaucoup plus élevées qu’un simple site promotionnel.

2. Approche basée sur le risque

Tout le code ne peut pas être révisé avec la même profondeur ; il est donc nécessaire d’adopter une approche basée sur le risque. Cela signifie qu’il faut donner la priorité à la révision des parties du code qui gèrent des fonctions critiques ou qui sont les plus exposées à des attaques potentielles. Par exemple, les modules qui traitent des données sensibles ou qui sont exposés sur Internet doivent faire l’objet de revues de sécurité plus rigoureuses.

3. Définition des rôles et des responsabilités

Il est crucial de définir qui sera responsable des revues de code. En général, celles-ci devraient être effectuées par des personnes autres que les auteurs du code original et par des individus possédant des compétences spécifiques en matière de sécurité logicielle. Dans certaines organisations, les revues de code peuvent être effectuées par une équipe dédiée à la sécurité, tandis que dans d’autres, cette responsabilité peut être répartie entre les membres de l’équipe de développement.

4. Calendrier et ressources

La revue de code doit être intégrée au SSDLC de manière à ne pas ralentir la progression du projet. Cependant, il est important de ne pas précipiter le processus : une revue superficielle peut manquer d’identifier des vulnérabilités critiques. La complexité du programme, le nombre de lignes de code et la disponibilité des ressources doivent être pris en compte lors de la planification du calendrier de la revue.

5. Documentation et reporting

Un aspect fondamental de la méthodologie de revue de code est la création de rapports documentant les résultats de la revue. Ces rapports doivent inclure des détails tels que la date de la revue, les modules de code examinés, les noms des réviseurs et des développeurs, ainsi qu’une classification des vulnérabilités rencontrées. Il est utile de maintenir un format standard pour les rapports afin de faciliter la compréhension et la gestion des vulnérabilités.

6. Intégration dans les pratiques de développement Agile et Waterfall

Dans le contexte du développement Agile, les revues de code doivent être continues, avec des vérifications de sécurité intégrées à chaque cycle de développement ou sprint. Dans des environnements plus traditionnels comme le modèle Waterfall, les revues de code peuvent être planifiées à des points spécifiques du cycle de développement, par exemple pendant la phase de test ou avant la mise en production du logiciel.

🔙 Retour à la mini-série d’ISGroup SRL dédiée à la revue de code !