Mise en place d'analyse statique de code pour du développement logiciel sécurisé H/F

2020-10-19T11:00:11.28

Information clé

Logiciel
Recherche, conception et développement
Etudiant
Zone d'activite courtaboeuf - 5 avenue des andes 91940 les ulis, Ile De France, FRANCE
Stage, Temps complet, 6 mois
BAC+5
Jeune diplômé/Première expérience
Anglais Courant
SDS/STF/21-84612

Description de la mission

Dans le cadre de nos cycles de développement logiciels en C/C++, nous utilisons l'outil d'analyse statique de code « Helix QAC » durant les phases de vérification et validation. Nous utilisons également un processus de génération automatique des exécutables (TeamCity) à partir des évolutions logicielles mises à disposition sur notre outil de gestions de sources (Mercurial).


Le stage portera sur :

  • • L'automatisation de l'analyse via TeamCity et la mise à disposition d'un rapport à destination des développeurs pour chacune des évolutions proposées, plutôt que de faire une analyse a posteriori en fin de processus de génération de la version logicielle.

  • • La mise en place et la configuration du module CERT-C/C++ proposé par l'outil « Helix QAC » et permettant de vérifier la conformité des codes par rapport aux normes de codage sécurisé issues des exigences du standard CERT. Ce standard édicte un certain nombre d'exigences supplémentaires (constructions dangereuses prohibées, anti-patrons à éviter, etc.) à destination des développeurs et des responsables qualité.

Les missions confiées durant le stage seront:

  • • Étude bibliographique :
o Prise de connaissance des standards CERT-C/C++ Secure Coding Guidelines
o État de l'art des standards et référentiels similaires applicables au développement C/C++ (MISRA,HIC++)
o État de l'art des techniques d'analyse de code (statique, dynamique, etc.) et des outils existant
o Etat de l'art sur la métrique du logiciel

  • • Prise en main des outils et mise en place de l'analyse automatique
o Étude de l'outil Helix QAC et de son mécanisme d'analyse
o Analyse des écarts entre le standard et les règles implémentées dans l'outil
o Prise de main des outils TeamCity, HelixQAC Dashboard
o Automatisation de l'analyse de code.
o Génération et mise à disposition d'un rapport d'analyse à destination des développeurs (mail) et des responsables qualité (métrique logicielle).

  • • Mise en place et la configuration du module CERT-C/C++
o Vérification et complément du référentiel interne de développement
o Configuration de l'outil d'analyse et priorisation des règles
o Tests et validation des règles par l'écriture de PoCs, validation sur du code de production

  • • Proposer des axes d'améliorations
o Étude des outils potentiellement complémentaires (fuzzers, analyseurs dynamiques, etc.) et proposition d'évolutions
o Proposition de règles supplémentaires issues d'autres standards étudiés

Votre profil

Vous êtes le.a candidat.e idéal.e si :

  • - Vous êtes en formation 3e année école d'ingénieur ou formation bac+5 équivalente.
  • - Vous justifiez d'une bonne connaissance des techniques d'analyse de code et/ou avec des outils d'analyse (Frama-C, Coverity, SonarQube, etc.)
  • - Vous maitrisez les langages C / C++
  • - Vous êtes rigoureux.se
  • - Vous savez agir en autonomie et avez l'esprit d'initiative
  • - Vous êtes avez d'excellentes aptitudes au travail d'équipe
  • - Vous êtes structuré.e
  • - Vous êtes force de proposition
  • - Vous recherchez une expérience valorisante dans un groupe international et innovant

Toutes nos opportunités sont ouvertes aux personnes en situation de handicap.

Entité de rattachement

Safran Electronics & Defense

Safran est un groupe international de haute technologie opérant dans les domaines de la propulsion et des équipements aéronautiques, de l'espace et de la défense. Implanté sur tous les continents, le Groupe emploie plus de 92 000 collaborateurs pour un chiffre d'affaires de 21 milliards d'euros en 2018. Safran occupe, seul ou en partenariat, des positions de premier plan mondial ou européen sur ses marchés. Pour répondre à l'évolution des marchés, le Groupe s'engage dans des programmes de recherche et développement qui ont représenté en 2018 des dépenses d'environ 1,5 milliard d'euros.
Safran est classé dans le Top 100 Global Innovators de Thomson Reuters ainsi que dans le palmarès « Happy at work » des sociétés où il fait bon vivre. Le Groupe est en 4ème position du classement Universum des entreprises préférées des jeunes ingénieurs en France.

Safran Data Systems SAS, entité du groupe Safran, conçoit et fabrique une large gamme de produits et solutions dans les domaines de la télémesure bord & sol, du traitement embarqué de l'information, de l'acquisition et enregistrement de données, du contrôle satellite et de la télédéction.
Safran Data Systems SAS emploie plus de 600 salariés répartis en France (Les Ulis, Colombelles et Arcachon), en Allemagne et aux Etats-Unis.

Appuyer sur Entrée pour valider ou Echap pour fermer