Normes de codage sécurisé

La sécurité des logiciels n’arrive pas par elle-même. Elle nécessite la mise en place de méthodologies uniformes dans l’ensemble de l’organisation; des méthodologies qui sont conformes aux politiques, objectifs et principes énoncés. L’objectif consiste à produire un code sécurisé, et pour y arriver, il faut suivre la politique selon laquelle l’ensemble du développement respecte les principes de codage sécurisé établis, transmis et sur lesquels le personnel a été formé.

Offrir une assurance de la sécurité élevée à tous les niveaux

Afin de s’assurer que les produits Oracle soient toujours développés selon des critères élevés d’assurance de la sécurité et d’éviter les erreurs de codage courantes des développeurs, Oracle utilise des normes formelles de codage sécurisé.

Les normes de codage sécurisé d’Oracle servent à la fois de marche à suivre et de guide pour les développeurs dans leur processus d’écriture de code sécurisé. Elles couvrent les domaines de connaissance générale en sécurité, tels que les principes de conception, les failles récurrentes, etc. Elles fournissent également des instructions précises sur des sujets, tels que la validation des données, la confidentialité des données, l’interface CGI, la gestion d’utilisateurs et plus encore.

Tous les développeurs Oracle doivent connaître ces normes et les mettre en pratique lors de la conception et du développement des produits. Ces normes de codage ont été élaborées au fil des ans en fonction des meilleures pratiques. Elles mettent également à profit les leçons apprises grâce à tous les tests continus de vulnérabilité effectués par l’équipe interne d’évaluation de produits d’Oracle. Oracle s’assure que les développeurs connaissent ses normes de codage en exigeant que ceux-ci suivent une formation sur le codage sécurisé. Les normes de codage sécurisé sont un élément clé de la méthodologie d’assurance de la sécurité logicielle d’Oracle, et l’adoption des normes est évaluée et vérifiée tout au long de la durée de vie utile de tous les produits Oracle.

Nature dynamique des normes de codage sécurisé

Les normes de codage sécurisé d’Oracle ont évolué et grandi avec le temps afin de remédier aux problèmes les plus fréquents du code source d’Oracle, de mettre à profit l’expérience des problèmes vécus et d’anticiper ceux à venir, de parer les nouvelles menaces au fur et à mesure qu’elles sont découvertes et d’intégrer les nouveaux cas d’utilisation des clients d’Oracle. Les normes de codage sécurisé n’existent pas en vase clos et ne servent pas simplement qu’à vérifier que tout a été bien fait une fois le développement logiciel terminé. Elles font partie intégrante des normes spécifiques à des langages de programmation, tels que C/C++, Java, PL/SQL et d’autres encore. Elles sont également l’une des pièces maîtresses des programmes et des processus d’Oracle Software Security Assurance.

Importance de la formation des développeurs

Au fil des ans, Oracle a développé à l’interne une formation sur les normes de codage sécurisé. Oracle donne cette formation de manière continue à son organisation de développement de produits, notamment les développeurs ainsi que les employés de la gestion de produits, de la gestion des versions et de l’assurance de la qualité. La formation n’est pas réservée qu’aux simples employés, tous les gestionnaires, y compris les vice-présidents, doivent suivre les cours sur le codage sécurisé. Cette formation continue permet à Oracle de s’assurer que les développeurs connaissent en profondeur les normes de codage et comprennent qu’Oracle maintient des normes élevées pour produire des produits de qualité.