La société de test de sécurité des applications GrammaTech a annoncé mercredi qu’elle avait publié un outil open source conçu pour détecter les erreurs d’utilisation des API.

L’outil, appelé SWAP Detector, a été développé dans le cadre d’un projet de recherche parrainé par le Département américain de la sécurité intérieure (DHS) et GrammaTech affirme qu’il peut être très utile pour les tests de sécurité des applications DevOps.

De nombreuses applications logicielles reposent sur des API tierces et il est important que les développeurs identifient les erreurs d’utilisation des API, ce qui peut entraîner des problèmes de sécurité et de fiabilité.

SWAP Detector analyse les appels de fonction dans le code dans le but de détecter les erreurs potentielles d’argument permuté. Si une telle erreur est détectée, l’utilisateur est averti et l’avertissement se voit également attribuer un score.

L’outil peut être intégré à des produits d’analyse statique tels que Clang-Tidy, Clang Static Analyzer et PyLint. SWAP Detector se concentre initialement sur les applications écrites en C et C ++, mais GrammaTech dit qu’il est également applicable au code écrit dans d’autres langages de programmation, en particulier pour les langages interprétés – plutôt que compilés.

«SWAP Detector utilise plusieurs techniques de détection d’erreurs, superposées pour augmenter la précision. Par exemple, il compare les noms d’arguments utilisés dans les sites d’appels avec les noms de paramètres utilisés dans les déclarations correspondantes », a expliqué GrammaTech.

«En outre, il utilise des techniques de« Big Code », appliquant des informations statistiques sur les utilisations des modèles d’utilisation des API« connus »collectés à partir d’un vaste corpus de code et signalant les utilisations statistiquement anormales comme des erreurs potentielles. Pour améliorer la précision des avertissements signalés, SWAP Detector applique des stratégies de réduction des faux positifs à la sortie des deux techniques », a-t-il ajouté.

Le code source du détecteur SWAP est disponible sur GitHub.

En relation: La base de code «  Have I Been Pwned  » devient Open Source

Connexes: près de 1000 vulnérabilités trouvées dans …