Pour gérer vos consentements :
Categories: LogicielsSécurité

Les développeurs victimes des compilateurs effaceurs de code

Les développeurs doivent redoubler de vigilance sur les bugs dans leurs applications. Si on connaît les failles de sécurité ou bug classique, d’autres éléments viennent se greffer comme l’a rappelé une intervention de l’équipe du MIT dirigée par Xi Wang lors de la conférence Usenix qui vient de se dérouler à Philadelphie. Parmi ces autres risques, il se focalise sur celui baptisé « optimisation de code instable » ou « code instable ». Il provient de la façon dont un compilateur efface une partie du code sans avertir le développeur, souligne nos confrères d’IT World. Avec ce code instable, les programmeurs peuvent perdre des fonctionnalités importantes touchant au contrôle de sécurité sans qu’ils le sachent.

Un module d’analyse du code instable

Pour trouver ce code instable dans les programmes écrits en C++ et C, l’équipe de scientifiques a développé une technique nommée Stack. Ce produit a été testé et a permis de découvrir plus de 160 erreurs dans différentes applications liées au code instable. Dans le détail, 11 bugs ont été trouvés et corrigés dans le protocole d’authentification réseau Open Source Kerberos. De même, 68 bugs ont été recensés par Stack dans le logiciel de gestion de la base de données PostgreSQL ce qui a permis d’appliquer 29 correctifs au sein de la base de données, elle-même.  Au final, la recherche a porté sur 16 compilateurs C/C++ Open Source et propriétaires de sociétés comme Intel, IBM ou Microsoft. Et le résultat montre que tous laissent passer du code instable.

En complément de la Core Initiative Infrastucture

Avec leur projet Stack, les chercheurs du MIT espèrent le voir intégrer les compilateurs pour pouvoir proposer une amélioration du code. Cette démarche n’est pas la seule pour optimiser et sécuriser le code. Après la faille Heartbleed, il y a eu une prise de conscience des grands acteurs du web sur certains projets Open Source critiques. Sous la houlette de la Fondation Linux, Google, Facebook, Microsoft et d’autres travaillent et financent, au sein de la Core Initiative Infrastructure, des audits sur la validité et la sécurité du code de projets comme OpenSSL par exemple.

A lire aussi :

Codecademy : mais alors, you code in French !

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

2 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

2 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

2 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

2 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

2 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

2 semaines ago