https://blog.rodolpheg.xyz/fr/tags/revue-de-code/Recent content in Revue De Code on RORO's blogHugofrcontact@rodolpheg.xyz (0xRo)contact@rodolpheg.xyz (0xRo)Sat, 02 Aug 2025 00:00:00 +0000https://blog.rodolpheg.xyz/fr/posts/code-auditing--101/Sat, 02 Aug 2025 00:00:00 +0000contact@rodolpheg.xyz (0xRo)https://blog.rodolpheg.xyz/fr/posts/code-auditing--101/<h2 id="sujets-abordés">Sujets abordés</h2> <p>Cet article explore l&rsquo;évolution de la revue de code manuelle vers les tests de sécurité automatisés, en couvrant :</p> <ul> <li>La réalité de la revue de code manuelle et ses limites</li> <li>La différence entre vulnérabilités et faiblesses</li> <li>Le fonctionnement interne des outils SAST</li> <li>L&rsquo;analyse de teinte (taint analysis) et le suivi des flux de données</li> <li>Les méthodologies sink-to-source vs source-to-sink</li> <li>Les stratégies d&rsquo;atténuation : liste blanche vs liste noire</li> <li>La gestion des faux positifs en pratique</li> <li>Le choix et le déploiement d&rsquo;outils SAST à grande échelle</li> <li>La complémentarité entre tests manuels et automatisés</li> </ul> <p>Il est 3 heures du matin. Vous en êtes à votre cinquième tasse de café, les yeux injectés de sang, fixant la ligne 2 847 d&rsquo;une pull request de 10 000 lignes. Quelque part dans ce labyrinthe d&rsquo;accolades et de points-virgules se cache une injection SQL qui pourrait faire tomber toute votre application. Bienvenue dans le monde glamour de la revue de code manuelle !</p>