Mozilla travaille sur un framework de sécurité open source nommé Minion, avec lequel vous serez en mesure d’utiliser pour fournir à vos applications Web un contrôle supplémentaire sur la sécurité. Le framework, qui permettra aux développeurs d’exécuter des tests sur des sites Web en développement, fera usage des outils de tests open, y compris Zed Attack Proxy (ZAP) – permet de trouver les vulnérabilités dans les applications Web, Skipfish – permet de détecter les failles au sein des applications Web – et NMAP – scanner de ports.
Les futurs travaux permettront d’apporter d’autres outils de test, et se grefferont au projet sous la forme de plugins, permettant ainsi de garder un « noyau dur ».
La Fondation Mozilla a commencé le développement du framework avec sa propre équipe, comme le souligne Yvan Boily, développeur en sécurité : « Nous voulons que nos développeurs puissent faire des choses horribles aux applications et aux services qu’ils développent, et nous voulons que ce soit aussi facile que la pression d’un bouton ».
En termes pratiques, Mozilla envisage de créer un outil qui permettra l’automatisation de base pour une gamme d’outils de sécurité, avec des configurations intelligemment sélectionnées afin de facilité son utilisation. De plus, la Fondation souhaite également bien penser les options de configuration pour permettre à l’utilisateur de configurer toute une gamme d’outils en modifiant un petit ensemble de valeurs.
Bien sûr, un inconvénient potentiel d’un outil qui trouve des faiblesses dans une application web, c’est que les informations retournées pourraient être utilisées par des personnes malveillantes qui voudraient pirater le site. Pour cette raison, Minion – le nom qu’à donné Mozilla à ce projet – est conçu pour être très sûr, et quand une requête est faite pour analyser un site Web, le service demandera aux exploitants des sites Web s’ils ont demandé celle-ci.
Par ailleurs, il est essentiel que le framework soit très sécurisé, puisque ce dernier contiendra des données sensibles comme des informations sur les problèmes de sécurité les plus répandus.
Si vous voulez en savoir plus sur l’utilisation de Minion et écrire quelques plugins pour apporter vos compétences et votre savoir à ce projet, je vous recommande de visionner cette vidéo donnant des détails sur le framework :
Selon la Fondation, Minion a été développé pour combler le fossé entre les développeurs et les testeurs de sécurité. Actuellement Minion est disponible uniquement pour une utilisation interne au sein de Mozilla, mais comme il s’agit d’un projet open source, son code source est disponible sur Github.
Outre le fait que c’est une excellente nouvelle pour tous les développeurs qui souhaitent sécuriser leur application Web ou même leur site tout au long du développement de celui-ci afin d’être conscient le plus tôt possible des éventuels problèmes, c’est aussi un formidable point de départ pour sensibiliser et s’informer sur les problématiques de sécurité.
Que pensez-vous de Minion ? Est-ce un projet sur lequel vous allez pouvoir vous appuyer ?