Pour gérer vos consentements :
Categories: DéveloppeursProjets

Python : 6 recommandations de sécurité

Python est un des langages de programmation les plus demandés du marché. Qu’en est-il de la protection des développements logiciels portés par Python ?

Snyk, plateforme de sécurité pour développeurs, a livré son analyse sur le sujet. La société technologique américaine dresse le constat suivant :

Un projet de développement applicatif basé sur Python inclut 35 dépendances en moyenne.

Dans 47% des cas, les dépendances introduisent des vulnérabilités, 33 en moyenne. Parmi ces failles de sécurité, 10% sont jugées « critiques » (XXS, TLS…) et 26% affichent un niveau « élevé » de dangerosité. Les autres sont de gravité « faible » (38%) à « moyenne » (26%).

La situation est tendue, mais elle n’est pas désespérée. Ainsi, 87% des vulnérabilités « connues » peuvent être éliminées par le biais d’une mise à jour du paquet vulnérable.

De l’analyse statique aux secrets bien gardés

Pour renforcer l’approche DevSecOps des projets, Snyk formule six recommandations à l’attention des développeurs et, plus largement, de l’écosystème Python :

1. Utilisez une analyse statique de code à jour (Pylint, Bandit…)
2. Nettoyez les données provenant de sources externes au point d’entrée des applications
3. Optez pour des outils de mapping objet-relationnel (object-relational mapping ou ORM)
4. Standardisez les chaînes de caractères avec encodage Unicode, si possible UTF-8
5. Fermez vos API et vos connexions réseau
6. Gardez vos secrets (identifiants, jetons d’accès aux API…), avec ou sans Python

« Il est courant de voir des informations personnelles telles que les noms d’utilisateur, les mots de passe, les jetons d’accès aux API, les chemins d’accès aux fichiers ou les noms de fichiers fuir dans le code source », soulignent les auteurs du rapport. « Une bonne pratique consiste à les conserver dans des fichiers séparés ou, mieux encore, de les stocker de manière confidentielle dans HashiCorp Vault ou AWS Key Management Service, par exemple. »

Recent Posts

Guerre en Ukraine : les PME et ETI redoutent les cyberattaques

Le CESIN publie une étude qui témoigne d’une vraie « cyber-crispation » des dirigeants d’entreprises…

43 minutes ago

Logiciels : Broadcom convoite VMware, qui bondit de 20%

Le fabricant américain de semi-conducteurs Broadcom pourrait acquérir VMware, spécialiste de la virtualisation et des…

18 heures ago

Cybersécurité : Microsoft recrute encore pour renforcer ses produits

Microsoft a recruté Jason Roszak, chef de produit réputé, pour optimiser la gestion des serveurs…

18 heures ago

Antennes 5G : Deutsche Telekom explore l’éolien pour les alimenter

Utiliser l’énergie éolienne pour contenir la flambée des coûts de l’électricité en Allemagne, c'est le…

21 heures ago

Souveraineté numérique : le choix de Bruno « Bercy » Le Maire

La compétence "numérique" est étendue aux prérogatives de Bruno Le Maire, reconduit à la tête…

23 heures ago

Windows 11 : Microsoft se rapproche de la disponibilité d’Android 12.1

Microsoft a publié une mise à jour qui permet, pour les testeurs de Windows 11,…

1 jour ago