Microsoft propose sonar, un outil open source qui va vous permettre de scanner votre site Web
à la recherche de vulnérabilités

Le , par Stéphane le calme, Chroniqueur Actualités
En 2013, Microsoft a lancé modern.IE avec un outil d'analyse statique pour détecter les optimisations pour les anciennes versions de IE, les bibliothèques obsolètes, les préfixes manquants, et plus encore. Cependant, le Web a évolué. Par conséquent l’éditeur a décidé de mettre à jour ses outils pour répondre au mieux aux nouvelles réalités. C’est dans cette optique qu’il a présenté sonar, « un nouvel outil de filtrage et un scanner de site pour le web moderne. »

Microsoft explique que « Sonar apporte de nombreuses améliorations par rapport aux scanners précédents : une exécution du code du site au lieu d'une simple analyse statique, un ensemble de règles plus flexible et modernisé, une exécution de tests parallèles, une intégration avec d'autres services, une base de code complètement open source dès le premier jour, etc. En outre, sonar peut également être utilisé comme un outil de ligne de commande (CLI) que vous pouvez intégrer directement dans vos flux locaux de travail de développement Web. »

Sonar est un projet open source disponible sous deux formes : la première consiste en un utilitaire de ligne de commande à intégrer au worflow de développement Web en local, la seconde se présente comme un service en ligne.

Une fois l’analyse effectuée, sonar pointe non seulement les problèmes, mais « plutôt que simplement dire aux développeurs ce qui n'allait pas, [il] dit aussi pourquoi dans un rapport détaillé. »

Sonar prend actuellement en charge cinq catégories de règles clés :
  • l'accessibilité : pour le moment avec axe (le moteur d'accessibilité pour les tests automatisés d'interfaces utilisateur basées sur HTML) et meta-charset-utf-8 ;
  • l’interopérabilité : notamment avec content-type, highest-available-document-mode, html-checker, meta-viewport et no-friendly-error-pages ;
  • performance : ici avec amp-validator, image-optimization-cloudinary et no-html-only-headers ;
  • progressive Web App (PWA, une Web App qui va associer le meilleur du web avec le meilleur des applications natives) : Pour rappel, une PWA permet :
    • un chargement instantané : grâce au Service Worker, l'accès au réseau devient optionnel,
    • les Notification Push : la Notification API Notification et la Push API permettent de faire parvenir à l'utilisateur des notifications contextuelles et adéquates, même si le navigateur est fermé (grâce au Service Worker),
    • responsive : l'utilisateur accède à votre application par différents périphériques, votre application doit faire de même et suivre l'utilisateur sur son téléphone, sa tablette ou son ordinateur (voire sa montre),
    • sécurisée : l’utilisation de HTTPS est indispensable pour le Service Worker, et aussi pour les Progressive Web Apps,
    • la disponibilité sur l'écran d'accueil : c'est ici qu’intervient le Web App Manifest va servir.

    Concernant les PWA, sonar apporte apple-touch-icons, manifest-app-name, manifest-exists et manifest-file-extension ;
  • la sécurité : ici, sonar propose disallowed-headers, disown-opener, no-protocol-relative-urls, ssllabs, strict-transport-security, x-content-type-options, validate-set-cookie-header et no-vulnerable-javascript-libraries.

Selon Microsoft, Sonar améliore les scanners statiques disponibles en exécutant du code de site Web, tout en s'intégrant à d'autres services de numérisation tels que le service de test de configuration de certificats SSL de Qualys, le projet AMP fondé par Google, et snyk.io, qui est le scanner de Sonar pour les bibliothèques JavaScript vulnérables.

D’ailleurs Snyk explique que, par défaut, Sonar vérifie la présence de bibliothèques JavaScript avec des vulnérabilités connues. Sonar analyse les bibliothèques et les versions utilisées, puis vérifie les vulnérabilités JavaScript côté client de Snyk et génère un rapport avec des liens vers des problèmes sur Snyk, qui contient des informations permettant de remédier à cette vulnérabilité. Snyk note que les développeurs devront toujours vérifier le code côté serveur pour des bogues similaires.

Suite à une étude l'an dernier qui a trouvé que 37 % des 133 000 sites Web de son univers avaient au moins une bibliothèque JavaScript avec une vulnérabilité connue, Snyk a analysé les 5000 URL les plus courantes et constaté que 76,6 % utilisaient une bibliothèque JavaScript avec au moins une bibliothèque vulnérable.

Le projet, open source, a été confié par Microsoft à la JS Foundation cet été afin que la communauté puisse y participer activement. Dans le futur, Microsoft compte ajouter des options de configuration pour Sonar en mode SaaS ainsi que le proposer sous forme de plugin pour Visual Studio.

en savoir plus sur sonar
essayer sonar en ligne

Source : annonce sonar, blog Snyk

Et vous ?

Que pensez-vous de cette initiative ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de AndMax AndMax - Membre averti https://www.developpez.com
le 28/10/2017 à 14:58
Je suppose que c'est une excellente initiative, sauf le nom de l'outil, car entre Sonar Lint, Sonar Qube, Cakewalk Sonar, etc... ça commence à faire beaucoup de "Sonar" en plus de la signification initiale (SOund NAvigation and Ranging) prévue pour la détection sous l'eau.
Avatar de marsupial marsupial - Membre expérimenté https://www.developpez.com
le 28/10/2017 à 19:53
Il y avait déjà arachnid dans backtrack 3 : si MS pouvait faciliter la portabilité de metasploit, je crois que cela pourrait ouvrir les yeux de certains. Juste visiter le site déjà serait une excellente initiative : offensive security.
Avatar de Namica Namica - Membre éprouvé https://www.developpez.com
le 29/10/2017 à 3:13
Moi, ce qui m'interpelle, c'est l'allure avec laquelle Microsoft met des produits en open source depuis peu de temps.
En quelques semaines on voit arriver sonar, winappdriver et MS-SQL !
Quel revirement de la part de la firme de Redmont depuis l'époque où le libre était diabolisé.
Microsoft est toujours "platinum member" de la Fondation Linux.

Quest-ce que Microsoft nous cache comme stratégie ?
Qu'en pensez-vous ?
Avatar de Chauve souris Chauve souris - Membre émérite https://www.developpez.com
le 29/10/2017 à 17:24
Microsoft fait partie des rares sociétés à considérer que le verrouillage propriétaire est une chimère vu que tout se cracke aisément. Et puis ils ont changé de créneau : ils ne vendent plus du logiciel, mais du cloud.
Avatar de Namica Namica - Membre éprouvé https://www.developpez.com
le 02/11/2017 à 1:48
Ben oui, mais ce n'est pas plus rassurant pour autant.
Le cloud est-il moins crackable ? A l'abri des espionnages gouvernementaux (étrangers ou pas) ?
Il est en tout cas soumis au phishing.
Avatar de Chauve souris Chauve souris - Membre émérite https://www.developpez.com
le 02/11/2017 à 12:34
C'est exact, mais ça ne concerne plus Microsoft. Eux ils vendent du cloud, les ennuis (espionnage principalement) c'est pour les clients, pas pour eux (sauf si le datacenter tombe parce qu'il était mal protégé). Plus des astuces de type "as a service". Non piratables puisque non publiques (comme Office 365). On n'achète plus un logiciel on paye un abonnement.

Tout dépendra d'Internet et du contrôle auquel tout le monde devra se soumettre, même pour les jeux (Steam, Uplay). "Bienvenue dans le pire des mondes" a écrit Natacha Polony.

On s'achemine doucement vers la fin du PC en temps que concept (Personal Computer) : système (Windows 10), programmes (Office 365) et jeux transformeront les ordis qui ne seront plus que des terminaux comme à l'époque lointaine et qu'on croyait révolue des "mainframe".
Avatar de Escapetiger Escapetiger - Expert confirmé https://www.developpez.com
le 02/11/2017 à 15:34
Citation Envoyé par Chauve souris Voir le message
On s'achemine doucement vers la fin du PC en temps que concept (Personal Computer) : système (Windows 10), programmes (Office 365) et jeux transformeront les ordis qui ne seront plus que des terminaux comme à l'époque lointaine et qu'on croyait révolue des "mainframe".
Tout à fait et c'est ce que combat médiatiquement depuis 2007 Benjamin Bayart avec sa conférence initiale « Internet libre ou Minitel 2.0 ».

[Edit] par exemple :


Minitel 2.0 - Une contre-histoire des Internets - ARTE - YouTube
Avatar de royken royken - Membre à l'essai https://www.developpez.com
le 03/11/2017 à 9:13
Le nom Sonar me fait penser à un outil que j'utilise en génie logiciel pour tester la qualité de mes codes sources
Avatar de royken royken - Membre à l'essai https://www.developpez.com
le 03/11/2017 à 9:15
Citation Envoyé par AndMax Voir le message
Je suppose que c'est une excellente initiative, sauf le nom de l'outil, car entre Sonar Lint, Sonar Qube, Cakewalk Sonar, etc... ça commence à faire beaucoup de "Sonar" en plus de la signification initiale (SOund NAvigation and Ranging) prévue pour la détection sous l'eau.
Exactement, Sonar Qube est utilisé pour tester la qualité des codes source
Avatar de Chauve souris Chauve souris - Membre émérite https://www.developpez.com
le 03/11/2017 à 15:03
Citation Envoyé par AndMax Voir le message
Je suppose que c'est une excellente initiative, sauf le nom de l'outil, car entre Sonar Lint, Sonar Qube, Cakewalk Sonar, etc... ça commence à faire beaucoup de "Sonar" en plus de la signification initiale (SOund NAvigation and Ranging) prévue pour la détection sous l'eau.
Sans oublier tous les çonnards qui ne manquent pas dans cette vallée de larmes
Contacter le responsable de la rubrique Accueil