Réaliser un audit de votre application Symfony : méthode et outils

24 Novembre 2024 13 mn Noel K.
Partager sur :
Auditer une application Symfony permet d’assurer la qualité, la performance et la sécurité de votre projet. Cette approche applicative vous permettra d’analyser votre code, de vérifier les bundles ou encore de réaliser des optimisations diverses de votre site ou application web. Grâce à cela, vous aurez un réel impact positif sur votre système global.

Dans cet article, Noël, Développeur de notre Agence Symfony à Paris, vous donne ses conseils et les étapes clés pour mener un audit Symfony efficace. Vous découvrirez comment examiner en profondeur votre logiciel, interpréter les logs, et adopter les meilleures pratiques pour garantir la pérennité de votre projet Symfony. Nous aborderons également l'importance de la documentation et du respect des protocoles pour optimiser la maintenabilité et la valeur de votre code source.

Un processus complet pour une réelle valeur ajoutée, suivez le guide !

Pour toi, qu'est-ce qu'un audit de code Symfony et à quoi sert-il ?

Pour moi, un audit technique  Symfony consiste à faire analyser son projet par une personne ou une entreprise spécialisée. Le but est d'obtenir un regard neuf sur ce qui a été réalisé. Dans le cadre d’un projet déjà développé, on fait généralement appel à un audit lorsque la situation l'exige, que ce soit pour des questions de sécurité, de performance, d'insatisfaction vis-à-vis du travail fourni par un prestataire externe de développement web, ou pour envisager des améliorations techniques.

Quelles sont les étapes pour mener un audit Symfony de manière efficace ?

Pour bien mener un audit de code source, la première chose essentielle est d'avoir une demande claire sur ce qui est attendu de l'audit. Pour cela, il faut avoir des réponses à diverses questions comme : Est-ce un rapport écrit ou une présentation qui est attendu comme livrable ? Quelles sont les questions spécifiques auxquelles nous devons répondre ?

Ensuite, il faut donner à l'auditeur un accès complet à la base de code, ainsi qu'à tout autre élément pertinent comme les spécifications fonctionnelles ou les bases de données. Cela lui permettra d'analyser le projet en profondeur.

Il est également important de rester disponible pour répondre aux éventuelles questions de l'auditeur tout au long du processus. Cette communication facilite le travail et assure que l'audit sera le plus précis possible. S’il existe de la documentation existante, elle jouera également un rôle clé dans ce process, car elle pourra aider l'auditeur à comprendre le cadre et l'organisation du projet. Puis, une fois toutes ces étapes franchies, il ne reste plus qu'à attendre le rapport final !

Comment évalues-tu la qualité globale d'un code en Symfony ? Quels critères sont les plus importants ?

La première chose à vérifier, c’est que le code soit fonctionnel et qu'il réponde aux besoins du produit —c'est quand même le but premier—. Ensuite, il est important que le code soit compréhensible par tous . C’est un élément très important car lorsqu’on travaille en équipe, avoir un code clair et lisible facilite grandement la collaboration.

La performance est aussi un critère majeur. C'est d’ailleurs souvent la problématique première lors des demandes d'audits de code source, donc je vérifie si le code est optimisé pour assurer de bonnes performances. Je regarde aussi si le code est bien testé. Même si, soyons honnêtes, si on demande un audit, c'est qu'il n’y a généralement peu ou pas de tests en place.

Enfin, je m'assure que le code respecte les standards et l'architecture applicative recommandée. Des pratiques de qualité permettent une meilleure maintenabilité du projet et réduisent les coûts de correction liés aux évolutions futures. En respectant ces critères, on peut garantir une qualité globale du code en Symfony.

Quels types de problèmes ou d'erreurs sont les plus courants dans les audits d’application PHP/Symfony que tu as déjà réalisés ?

Lors des audits PHP/Symfony que j'ai réalisés, j’ai pu constater que plusieurs types de problèmes ou d'erreurs revenaient fréquemment.

  • Une mauvaise utilisation de l’ORM Doctrine

    Par exemple, j'ai déjà rencontré des cas où l'équipe en charge de l'API n'était pas très à l'aise avec les bases de données, notamment avec SQL ou MySQL. Ils avaient conçu des tables de manière inappropriée, avec des relations mal définies, ce qui entraînait des requêtes inefficaces. Pour récupérer quelques éléments, ils interrogeaient l'ensemble de la base de données, ce qui ralentissait énormément l'affichage des pages et les performances des API. Pour résoudre ce problème, j'ai synthétisé les erreurs commises et proposé des solutions pour améliorer la structure de la base de données et optimiser les requêtes.

  • Le “code spaghetti”

    Cela se produit souvent lorsque plusieurs développeurs se succèdent sur un projet ou lorsque certains manquent d'expérience. On se retrouve alors avec un code final difficile à comprendre. Mon rôle est d'aider l'équipe à améliorer ce code en proposant des bonnes pratiques et une refactorisation pour le rendre plus lisible et maintenable. Cette refonte du code peut s'avérer nécessaire pour améliorer sa structure globale et son impact sur le projet.

  • La redondance excessive du code

    Les développeurs dupliquent des morceaux de code un peu partout pour accomplir les mêmes tâches. Par exemple, s'ils ont une page pour récupérer les utilisateurs et une autre pour les messages de l'utilisateur, ils répètent les mêmes vérifications dans les deux endroits. Cette duplication rend le code plus complexe et complique les modifications ultérieures, car il faut les appliquer partout où le code a été dupliqué.

  • L’absence de tests ou de suivi de monitoring

    Souvent, c'est l'utilisateur final qui signale les problèmes en disant que l'application ou le site ne fonctionne pas correctement. Les développeurs, sans tests de non-régression ni outils de monitoring, ne se rendent pas forcément compte des dysfonctionnements ou des dégradations de performance. Parfois, ils ignorent qu'ils ont cassé des fonctionnalités existantes. De ce fait, il est donc essentiel de mettre en place des tests automatisés et des outils de surveillance pour assurer la qualité et la fiabilité de l'application en production. Par exemple, l'intégration d'un système de logs efficace peut aider à identifier rapidement les anomalies.

  • La performance et la sécurité

    On rencontre aussi souvent des problèmes liés à la performance ou à la sécurité. Dans le cas de la performance, parfois ce n'est pas directement lié au code ou à la base de données, mais plutôt à une mauvaise utilisation d'un outil ou à une configuration inappropriée. Concernant la sécurité, des audits plus spécifiques peuvent être nécessaires pour s'assurer que les principales failles de sécurité connues sont bien corrigées. Cela peut aller de vérifier que les API sont sécurisées à s'assurer qu'un utilisateur malveillant ne peut pas usurper l'identité d'un autre utilisateur ou accéder à des données sensibles. Ainsi, l'utilisation de protocoles de sécurité standardisés est essentielle dans ce cadre. Dans d’autres cas, il s'agit de prévenir des tentatives plus élaborées, comme l'accès non autorisé au code source ou à la base de données via des techniques de phishing ou d'escalade de privilèges. En outre, il est donc crucial de choisir le niveau d'audit de sécurité en fonction des besoins et des risques spécifiques au projet.

Lorsque tu fais un audit de sécurité d'une application Symfony, quels aspects sont analysés et contrôlés en priorité ?

Tout d'abord, je m'assure que toutes les librairies et les frameworks utilisés sont à jour. Les bundles, qui sont des librairies intégrées au projet, peuvent avoir leurs propres failles de sécurité si elles ne sont pas maintenues. L'obsolescence de ces composants peut entraîner des vulnérabilités critiques. Il est donc essentiel de vérifier qu'aucune librairie obsolète ou non maintenue n'est utilisée, afin de minimiser ces risques.

Ensuite, je porte une attention particulière aux injections SQL. Je vérifie que le connecteur à la base de données est correctement utilisé pour éviter que des requêtes malveillantes puissent être exécutées. L'utilisation appropriée des outils fournis par Symfony pour interagir avec la base de données permet généralement de se prémunir contre ce type de faille.

Egalement, les attaques XSS (Cross-Site Scripting) sont un point critique. Elles permettent à un hacker de soumettre des données depuis un domaine non autorisé. Heureusement, si on utilise les formulaires de Symfony, le framework intègre déjà des protections contre ce genre d'attaques. Cependant, ces failles peuvent encore survenir si le développeur a codé certaines parties manuellement sans appliquer les bonnes pratiques de sécurité.

Dans les autres aspects, on retrouve aussi la sécurité des sessions utilisateurs. Les sessions peuvent être usurpées via les cookies si elles ne sont pas correctement sécurisées. Je m'assure donc que les mécanismes d'authentification et de gestion de session sont robustes.

En fin de compte, les aspects que je vérifie en priorité dépendent vraiment du niveau de sécurité requis par le client et de ce que je suis capable de fournir. Il faut reconnaître que le pentesting et la sécurité informatique sont des métiers à part entière. En tant que développeur, je peux vérifier les éléments de base que je viens de mentionner, mais pour un audit de sécurité plus poussé, il peut être nécessaire de faire appel à des professionnels spécialisés dans ce domaine. Cela garantit une action efficace pour protéger le système applicatif contre les menaces potentielles.

Quels sont les outils, spécifiques ou non à PHP/Symfony, que tu utilises pour réaliser l’audit ?

Pour réaliser un audit, j'utilise plusieurs outils, qu'ils soient spécifiques à PHP/Symfony ou non. Voici la liste des outils que j'emploie et leurs particularités :

  • Mon IDE : c'est mon environnement de développement intégré, indispensable pour naviguer et analyser le code efficacement.
  • Tests de performance basiques : si j'ai besoin de réaliser des tests de performance simples, j'utilise un navigateur ou Postman pour les APIs, ainsi qu'un client de base de données si nécessaire.
  • Gatling : pour des tests de performance plus poussés, j'utilise Gatling. Cet outil permet de simuler des charges importantes sur l'application et d'identifier les éventuels goulots d'étranglement.
  • Xdebug : j'utilise Xdebug pour profiler les méthodes lentes et comprendre comment le code PHP s'exécute. C'est très pratique lorsqu'on cherche à identifier pourquoi un bug survient à un endroit précis.
  • Blackfire (payant) : c'est un outil spécialisé pour Symfony qui offre des fonctionnalités avancées de profiling. Il permet d'identifier précisément où se situent les problèmes dans le code, quelles fonctions prennent le plus de temps, et où des optimisations sont possibles.
  • New Relic : permet de voir ce qui se passe sur le serveur, les requêtes exécutées, leur durée, et de configurer des alertes.
  • Datadog : offre des fonctionnalités similaires pour le monitoring et l'alerting.
  • PHP Mess Detector (phpmd) : cet outil aide à détecter si le code est désorganisé ou présente des anomalies potentielles.
  • PHP CodeSniffer (phpcs) et PHP CS Fixer : ils permettent de normaliser le code en appliquant des standards de codage uniformes à tout le projet, comme le placement des espaces, la structure des parenthèses, etc.
  • Deptrac : utile pour vérifier les dépendances entre les différents modules du projet et s'assurer que l'architecture est respectée.
  • Psalm et PHPStan : ce sont des analyseurs statiques qui détectent les erreurs potentielles dans le code, améliorant ainsi la qualité globale et la fiabilité de l'application.

En cas d’audit d’un code legacy, quelles sont les approches que tu adoptes pour identifier les zones critiques à refactoriser et celles qui peuvent être laissées en l’état ?

Dans le cadre d’un code legacy, mon approche pour identifier les zones critiques à refactoriser dépend beaucoup des besoins du client. Je commence par prioriser les fonctionnalités les plus importantes et je laisse de côté celles qui le sont moins. Par exemple, si le client me dit que l'application est globalement lente, je travaille avec lui pour déterminer quels sont les endroits les plus lents, car ce sont ces parties qu'il faut traiter en priorité.

Je demande souvent au client de me fournir les 5 ou 10 fonctionnalités les plus prioritaires. Comme je ne connais pas forcément en détail le métier du client, c'est essentiel qu'il me précise ce qui est important pour lui. D'un point de vue métier, je préfère commencer par les aspects qui sont cruciaux pour le business et descendre progressivement. Je ne vais pas leur demander de refactoriser une fonctionnalité dont ils se moquent, ça n'aurait pas de sens. Mon objectif est de ne pas leur faire perdre du temps sur des parties moins utiles.

Pour conclure : Quels conseils donnerais-tu à une équipe qui souhaite réaliser un auto-audit de leur application symfony ?

Je conseillerais à une équipe qui souhaite réaliser un auto-audit de leur application Symfony d'essayer d'avoir un regard neuf sur le code, ce qui n'est pas toujours évident—c'est d'ailleurs pour ça qu'on demande généralement un audit externe. Se mettre dans la peau de quelqu'un qui n'a jamais vu le projet peut aider, mais ce n'est pas simple. Pour des revues de code internes, ça peut fonctionner, surtout pour s'assurer que tout le monde est d'accord sur les standards et les pratiques communes.

Cependant, si votre équipe n'a pas d'expertise particulière en sécurité, il ne faut pas s'attendre à des miracles en réalisant l'audit vous-mêmes. Même avec la meilleure volonté du monde, c'est compliqué d'être objectif quand on est impliqué dans le développement. De plus, le manque de compétence spécifique peut limiter l'efficacité de l'audit. L'avantage de faire appel à quelqu'un d'externe, c'est d'obtenir un regard vraiment différent et professionnel sur votre projet. Notre agence Symfony chez Eleven Labs est experte dans ce type d'audits et peut vous apporter cette précieuse expertise. En tant qu'experts du langage nous sommes capables d'auditer en profondeur votre application, de vous proposer les recommandations d'optimisations adéquates et de vous aider à la mise en place ! Sécuriser, protéger et optimiser votre application est notre priorité. Vous profiterez de conseils et préconisations technologiques sur mesure pour optimiser votre produit php/symfony.

 

Noel K.
Noel est un développeur back-end avec plus de 14 ans d'expérience, maîtrisant PHP, SQL, Docker et les architectures complexes comme les microservices et l'architecture hexagonale.

Besoin d'un audit de votre application ?

Nos experts répondent à vos questions !

Demander un rendez-vous
Prenez un RDV avec un expert Eleven Labs

Découvrez d’autres articles autour du développement web et mobile