Catégorie: Rapport technique
Auteurs: Éric Jaeger, Olivier Levillain, Benjamin Morin, Vincent Strubel, Silicom, Amossys et INRIA
Date: 2009
Série: Mind your Languages
Un certain nombre d’idées reçues circulent sur l’apport relatif des différents langages de programmation en matière de sécurité, mais les études techniques détaillées sur le sujet sont relativement peu nombreuses. C’est une des raisons pour lesquelles l’ANSSI a choisi de lancer l’étude Javasec.
Cette étude, menée par un consortium composé de SILICOM, AMOSSYS et de l’INRIA, dans le cadre formel d’un marché du SGDSN, avait pour objectif principal d’étudier l’adéquation du langage Java pour le développement d’applications de sécurité, de proposer le cas échéant des recommandations, et de mettre en pratique certaines de ces recommandations. Pour permettre une large diffusion de ses résultats, les clauses du marché prévoyaient dès le début la possibilité pour l’ANSSI de les publier.
Cette étude a notamment donné lieu à la livraison de 3 rapports, qui ont été validés par les laboratoires de l’ANSSI. Le « Rapport d’étude sur le langage Java » analyse les grandes caractéristiques du langage dans une perspective de sécurité. Il est complété par le « Rapport sur les modèle d’exécution du langage Java » qui s’intéresse notamment aux différentes conséquences de l’exécution d’applications Java en mode natif ou par interprétation sur une machine virtuelle. Ces analyses ont permis de proposer quelques recommandations à l’attention des développeurs, faisant l’objet du « Guide de règles et de recommandations relatives au développement d’applications de sécurité en Java ». Ces documents sont disponibles sur le site de l'ANSSI.
L’étude comporte également des rapports relatifs à la compilation, aux machines virtuelles et aux objectifs de sécurité associés. Ces éléments peuvent être obtenus auprès de l’ANSSI sur demande justifiée.
Publié par ANSSI
BibTeX Page du projet JavaSec sur le site de l'ANSSI