Qualité logicielle : Coverity présente un outil d’analyse statique d’applications Web Java
Coverity, que l’on connait pour ses outils d’analyse et de tests de code source compilé, a décidé de se pencher sur la sécurité des applications Web Java.
Coverity, que l’on connait pour ses outils d’analyse et de tests de code source compilé, a décidé de se pencher sur la sécurité des applications Web Java. La société travaille à développer un outil d’analyse statique qui passera au crible les sources des applications Web écrites en Java afin de détecter les éventuels défauts de code et les potentielles failles de sécurité. Coverity indique par exemple que son outil pourra détecter les défauts de code susceptibles d’ouvrir la porte en grand aux attaques de type injection SQL ou encore cross-scripting - très en vogue chez les pirates informatiques.
L’une des particularités de l’outil (actuellement en version de test, sortie prévue en septembre 2012) est qu’il prendra également en compte dans ses phases d’analyse les frameworks Java (et de leurs imbrications dans le code), très utilisés par la communauté des développeurs. Selon nos confrères d’Inforworld, seuls Spring et Hivernate sont supportés. L’application proposera également aux développeurs des moyens et des bonnes pratiques pour réduire les imperfections de leur code.
Selon Coverity, 75% des attaques sur le Web ont lieu au niveau de l’application.