Sonar : l’outil open source de Microsoft pour scanner les vulnérabilités des sites

30/10/2017
Logo Microsoft

La firme de Redmond propose un outil d’analyse statique pour détecter les bibliothèques, les optimisations et les éléments obsolètes d’un site.

Sonar est l’héritier de modern. IE, lancé en 2013 par Microsoft. Ce dernier proposait alors une analyse statique des sites pour détecter les optimisations pour les anciennes versions de IE, les bibliothèques obsolètes, les préfixes manquants, etc. Seulement, pour les technologies Web quatre années représentent une véritable éternité menaçant l’outil lui-même d’obsolescence. Sonar est ainsi présenté par Microsoft comme « un nouvel outil de filtrage et un scanner de site pour le Web moderne. »

Selon l’éditeur, Sonar apporte de nombreuses nouveautés et améliorations aux précédents scanners publiés. Il permet notamment une exécution du code du site et non plus une simple analyse statique.

L’ensemble de règles proposé est rendu plus flexible et modernisé et l’exécution de tests peut s’effectuer en parallèle. Outre la publication en open source, l’outil permet l’intégration transparente d'autres services. Enfin, Sonar peut également être utilisé comme un outil de ligne de commande (CLI), permettant l’intégration directe dans les flux locaux de travail de développement Web. Sonar est aussi disponible en tant que service en ligne.

Le projet a été confié par Microsoft à la JS Foundation cet été afin que la communauté puisse y participer activement. Dans le futur, Microsoft compte ajouter des options de configuration pour Sonar en mode SaaS ainsi que le proposer sous forme de plugin pour Visual Studio.

Les règles de Sonar et l’intégration

Sonar se concentre pour l’instant sur cinq thématiques, déclinées en différentes règles : l'accessibilité, l’interopérabilité, les performances, le design responsive, la sécurité du site. En dehors des outils maison développés pour les règles d’analyse, Microsoft a intégréd'autres services de numérisation tels que le service de test de configuration de certificats SSL de Qualys, le projet AMP fondé par Google, et snyk.io, le scanner de Sonar pour les bibliothèques JavaScript vulnérables.Selon Microsoft, Sonar améliorede faitles scanners statiques disponibles en exécutant du code de site Web

Snykest un ajout d’importance permettant àSonardevérifierla présence de bibliothèques JavaScript avec des vulnérabilités connues.Une récente étude publiée par Snyk annonçait que près de37 % des 133 000 sites Webanalyséscomportaientau moins une bibliothèque JavaScript avec une vulnérabilité connue.Parmi5000 URL les plusutilisées dans le panel, ce chiffre atteignait une proportion inquiétante de76,6 %.

Source : sonarwhal.com

comments powered by Disqus
top