Descriptif complet :
Astrée est un logiciel d'analyse statique de code C/C++ développé et commercialisé par AbsInt GmbH sous licence du CNRS/ENS.
Astrée est déjà utilisé avec succès dans le domaine des systèmes embarqués critiques pour prouver l'absence d'erreurs d'exécution et de conflits d'accès aux données, et la conformité aux règles de codage de sûreté de fonctionnement telles que MISRA-C.
Astrée propose également des fonctionnalités très avancées pour détecter les failles de sécurité de vos applications:
- Détection d'erreurs runtime de type buffer overflow, mauvaise gestion des pointeurs et du partage des variables, défaut d'initialisation des variables, dont les conséquences sont typiquement l'injection de code malveillant.
- Vérification des règles de codage reconnues dans le domaine de la sécurité: MITRE CWE, SEI CERT Secure C, ISO/IEC TS 17961:2013. Cette fonctionnalité est également couverte par le logiciel AbsInt RuleChecker qui peut être déployé indépendamment d'Astrée.
- Repérage et suivi dans le flot de contrôle du code des données teintées (Tainted data), données non sécurisées provenant de l'extérieur par saisie interactive ou via un programme tiers, pouvant potentiellement servir à corrompre l'application ou ses données.
- Détection automatique de vulnérabilités de type Spectre V1, V1.1 et Split-Spectre, grâce à l'analyse des données teintées. Ce type de faille est inhérent à l'optimisation d'exécution (prédiction de branchement) effectuée par les processeurs modernes et peut se traduire par le piratage de données confidentielles déposées en cache.


