La sécurité des applications est une exigence incontournable pour le développement logiciel moderne. La dernière version d’IntelliJ IDEA 2024.3.1, ainsi que le nouveau plugin d’analyse de sécurité de Qodana, renforcent les mesures de sécurité en vous fournissant des capacités d’analyse interprocédurale des flux de données avancées pour le code écrit en Java ou Kotlin.Entraînée à partir des projets de sécurité du Benchmark OWASP, cette nouvelle fonctionnalité permet de détecter et de traiter les vulnérabilités de sécurité critiques, telles que les attaques de type cross-site scripting (XSS), injections de commandes, injections SQL et path traversal, en temps réel pendant la saisie.
Cette fonctionnalité est disponible dans IntelliJ IDEA Ultimate à partir de sa version 2024.3.1 avec le plugin Security Analysis de Qodana installé. Pour commencer, ouvrez la vue Problems, sélectionnez le nouvel onglet Security Analysis et installez le plugin.
Une fois le plugin installé, tout est prêt. Il détectera et signalera automatiquement les problèmes dans votre éditeur. Vous pouvez consulter l’exemple de démo intégré dans votre projet Java ou Kotlin ou lancer une analyse de teinte en mode batch sur l’ensemble de votre base de code afin d’identifier les endroits où le code est potentiellement vulnérable.
L’analyse de sécurité est plus essentielle que jamais
La fonctionnalité d’analyse de sécurité de Qodana fournit des capacités d’analyse de teinte à votre éditeur pour vous aider à identifier les vulnérabilités dans votre application.
Elle suit la manière dont les données circulent dans votre code, en mettant en évidence les zones dans lesquelles des entrées utilisateur potentiellement dangereuses pourraient atteindre des fonctionnalités vulnérables (sinks). De tels flux de données peuvent être exploités et risquer de compromettre la sécurité de l’application, selon le type de vulnérabilité.
Avec la publication d’IntelliJ IDEA 2024.3.1 et du plugin Security Analysis de Qodana, JetBrains vous aide à résoudre les problèmes de sécurité les plus critiques pour les applications web recensés dans la liste du Top 10 d’OWASP. En effectuant une analyse de teinte avec le nouveau plugin optionnel d’IntelliJ IDEA, vous pouvez considérablement améliorer la qualité et la sécurité de votre base de code.
Assurer la sécurité de la base de code
Dans l’exemple Spring Boot intentionnellement vulnérable donné ci-dessus, vous pouvez voir les entrées utilisateur potentiellement malveillantes de la requête passer dans la requête SQL sans nettoyage de données approprié. Les attaquants pourraient exploiter cette vulnérabilité pour compromettre l’intégralité du système.
Analyse de teinte du pipeline de CI/CD de votre équipe avec Qodana
Vous pouvez renforcer la sécurité des projets de votre équipe grâce à l’analyse de teinte dans votre pipeline de CI/CD. Cette fonctionnalité est disponible pour le code écrit en Java et Kotlin via l’utilisation de la version 2024.3 du linter Qodana.
Installer la dernière version d'IntelliJ IDEA Ultimate Découvrez le plugin Security Analysis