La sécurisation d’un logiciel n’est pas le fruit du hasard. Cela nécessite l’application constante de méthodologies dans l’ensemble de l’entreprise, des méthodologies qui soient conformes aux politiques, objectifs et principes déclarés. L’objectif est de produire du code sécurisé : Oracle exige que tout le développement respecte les principes de programmation sécurisée qui ont été convenus, communiqués et ont fait l’objet de formations auprès du personnel.

Assurer une assurance de sécurité de bout en bout

Pour garantir que les produits Oracle sont développés avec une assurance de sécurité constamment élevée, et pour aider les développeurs à éviter les erreurs de programmation courantes, Oracle utilise des normes formelles de programmation sécurisée.

Les normes Oracle Secure Coding Standards (Normes de programmation sécurisée Oracle) offrent une feuille de route et guident les développeurs dans les efforts qu’ils déploient pour produire du code sécurisé. Elles couvrent des domaines de connaissances généraux relatifs à la sécurité, tels que les principes de conception, les vulnérabilités courantes, etc. De plus, ils fournissent des conseils spécifiques sur des sujets comme la validation des données, la confidentialité des données, CGI, la gestion des utilisateurs et bien plus encore.

Tous les développeurs Oracle doivent connaître ces normes et les appliquer lors de la conception et la compilation des produits. Les normes de programmation ont été développées sur plusieurs années et intègrent les meilleures pratiques, ainsi que les enseignements tirés des tests continus de vulnérabilité effectués par l’équipe d’évaluation produit interne d’Oracle. Oracle s’assure que les développeurs aient connaissance de ces normes de programmation en leur dispensant des formations sur la programmation sécurisée. Les normes de programmation sécurisée constituent un composant clé d’Oracle Software Security Assurance et le respect des normes fait l’objet d’une évaluation et d’une validation tout au long du cycle de vie des produits Oracle.

Nature dynamique des normes de programmation sécurisée

Les normes de programmation sécurisée Oracle ont évolué et se sont enrichies avec le temps afin de répondre aux problèmes les plus courants qui affectent le code Oracle, aux analyses effectuées et aux enseignements tirés, aux nouvelles menaces identifiées et aux nouveaux cas d’utilisation par les clients Oracle. Les normes de programmation sécurisée ne vivent pas en vase clos et ne sont pas ajoutées a posteriori au processus de développement logiciel. Elles font partie intégrante des normes spécifiques des langages tels que C/C++, Java, PL/SQL et autres, et constituent un pilier des programmes et des processus Oracle Software Security Assurance.

L’importance de former les développeurs

Au fil des années, Oracle a développé en interne des formations basées sur les normes de programmation sécurisée. Oracle dispense ces formations dans son service de développement produit, notamment auprès des développeurs ainsi que des chefs de produit, des responsables des mises en production et des équipes d’assurance qualité, de façon continue. La formation n’est pas réservée aux contributeurs seuls : les cadres et l’équipe de direction (jusqu’au poste de vice-président) sont enjoints à suivre les formations de programmation sécurisée. Cet enseignement continu garantit que les développeurs maîtrisent tous les aspects de la programmation sécurisée et comprennent qu’Oracle suit des normes rigoureuses pour créer des produits de qualité.