Security & PrivacyLunch Talk15min
CVE vs CWE : de la correction de failles à l'éradication des causes profondes
Cette présentation clarifie la différence entre CWE (faiblesses) et CVE (vulnérabilités), explique leur lien, et montre comment passer d’une gestion réactive des failles à une prévention durable via le CWE Top 25. Des exemples concrets et une démo illustrent l’identification et la correction des faiblesses dans le code.
Clara WiatrowskiNeoXam
talkDetail.whenAndWhere
Friday, April 24, 13:00-13:15
TBA 4
talks.roomOccupancytalks.noOccupancyInfo
Votre outil d'analyse statique vous affiche des CWE-79 ou CWE-89 ?
Vous passez votre temps à appliquer des patchs de CVE sur vos dépendances ?
Il est temps de comprendre la différence fondamentale qui sépare une faiblesse CWE d'une vulnérabilité CVE.
En 15 minutes, nous allons démystifier ce couple, voir des exemples de code concrets et
vous donner les clés pour enfin traiter la cause, et non plus seulement le symptôme.
Nous commencerons par définir clairement la nature et le lien entre CWE et CVE : pourquoi un CVE fait toujours référence à une ou plusieurs CWE (par exemple, CVE-2022-XXXX lié à CWE-20) ?
Puis nous verrons où croiser ces notions au quotidien (outils SAST/DAST) et ferrons une démo live avec un extrait de code vulnérable, mettant en lumière la CWE concernée et sa correction définitive.
Nous terminerons en donnant les clés pour utiliser le CWE Top 25 dans une revue de code, afin de passer d'une stratégie de patch réactif à une prévention durable des failles.
Vous passez votre temps à appliquer des patchs de CVE sur vos dépendances ?
Il est temps de comprendre la différence fondamentale qui sépare une faiblesse CWE d'une vulnérabilité CVE.
En 15 minutes, nous allons démystifier ce couple, voir des exemples de code concrets et
vous donner les clés pour enfin traiter la cause, et non plus seulement le symptôme.
Nous commencerons par définir clairement la nature et le lien entre CWE et CVE : pourquoi un CVE fait toujours référence à une ou plusieurs CWE (par exemple, CVE-2022-XXXX lié à CWE-20) ?
Puis nous verrons où croiser ces notions au quotidien (outils SAST/DAST) et ferrons une démo live avec un extrait de code vulnérable, mettant en lumière la CWE concernée et sa correction définitive.
Nous terminerons en donnant les clés pour utiliser le CWE Top 25 dans une revue de code, afin de passer d'une stratégie de patch réactif à une prévention durable des failles.
Clara Wiatrowski
Je suis développeurse Java et ingénieure R&D, aujourd’hui en poste chez NeoXam après six ans passés à la Bibliothèque nationale de France où j’ai travaillé sur l'archivage des sites web. Précédemment j’ai occupé des rôles full‑stack et mené des travaux de data‑mining pour des projets critiques. J’aime accompagner les équipes en transmettant des bonnes pratiques concrètes pour les aider à monter en compétence et gagner en autonomie.
talkDetail.shareFeedback
talkDetail.feedbackNotYetAvailable
talkDetail.feedbackAvailableAfterStart
talkDetail.signInRequired
talkDetail.signInToFeedbackDescription
occupancy.title
occupancy.votingNotYetAvailable
occupancy.votingAvailableBeforeStart
talkDetail.signInRequired
occupancy.signInToVoteDescription
comments.speakerNotEnabledComments