Bonjour, je suis en train de relire et corriger des typos et fautes de français dans les traductions mais je m'interroge aussi sur d'autres points.

La traduction de libraries en français, s'accorde-t-on à dire bibliothèques, ce qui me paraît plus correct même dans un jargon de développeur, ou bien librairies ?

La mauvaise configuration de la sécurité est le problème le plus répandu. C'est généralement le résultat de configurations par défaut non sécurisées, de configurations incomplètes ou ad hoc, d'un stockage dans un cloud ouvert, d'en-têtes HTTP mal configurés et de messages d'erreur verbeux contenant des informations sensibles. Non seulement tous les systèmes d'exploitation, frameworks, bibliothèques et applications doivent être configurés de façon sécurisé, mais ils doivent également être corrigés et mis à jour en temps et en heure.

=> être configurés de façon sécurisée,

Les failles XSS se produisent chaque fois qu'une application inclut des données non fiables dans une nouvelle page Web sans les valider ou les échapper de façon appropriée, ou lorsqu'elle met à jour une page Web existante avec des données fournies par l'utilisateur à l'aide d'une API de navigateur permettant de créer du HTML ou du JavaScript. Le XSS permet aux attaquants d'exécuter des scripts dans le navigateur de la victime et ainsi de détourner des sessions utilisateur, de défigurer des sites Web ou de rediriger l'utilisateur vers des sites malveillants.

=> sessions utilisateurs

Les failles d’injection sont très fréquentes, surtout dans le code ancien. On les retrouve souvent dans les requêtes SQL, LDAP, XPath, noSQL, commandes OS, parseurs XML, arguments de programme, etc. Les failles d’Injection sont faciles à découvrir lors d’un audit de code, mais plus difficilement via test. Scanners et Fuzzers aident les attaquants à les trouver.

=> je mettrai plus via des test

Comment empêcher l'injection?

=> je pinaille mais pour la cohérence Injection

Pour les données en entrée, la « whitelist » avec normalisation est recommandée, mais n’est pas une défense complète dans la mesure où de nombreuses applications requièrent des caractères spéciaux, par exemple les zones de texte ou les APIs pour les applications mobiles.

=> pas de S à API

Pour les requêtes dynamiques restantes, vous devriez soigneusement échapper les caractères spéciaux en utilisant la syntaxe d’échappement spécifique à l’interpréteur. Note: Les structures SQL telles que les noms de table, les noms de colonne, et d'autres ne peuvent pas être échappées et les noms de structures venant de l'utilisateur doivent donc être considérés comme dangereux. Ceci est un problème courant dans les logiciels d'aide à l'écriture de rapports.

=> considérés comme dangereuses

Scenario #2: De même, la confiance aveugle d'une application dans les frameworks qu'elle utilise peut faire que ses requêts sont toujours vulnérables (par exemple Hibernate Query Language (HQL)):

=> faire que ses requêtes

Query HQLQuery = session.createQuery("FROM accounts WHERE custID='" + request.getParameter("id") + "'");

=> je ne connais pas HQLQuery mais il ne manque pas un bout à la requête ?

Bonjour,

J'ai proposé une PR pour la traduction du tableau 0x11-t10.md.

Est-ce que quelqu'un aurait le temps de la relire?

Merci

Dans le paragraphe Remerciements :

Un grand merci aux individus (plus de 500 !) qui ont pris le temps de répondre à l'étude industrielle. Votre voix a aidé à retenir deux nouveaux ajouts au Top 10. Les commentaires, messagez d'encouragements et critiques ont tous été appréciés. Nous savons que votre temps est précieux et tenons à vous dire merci.

=> Les commentaires, messages

test

Dans le paragraphe Suis-je vulnérable, en version en 2017, il y a des informations sur DevSecOps qui ne faisaient pas partie de la traduction en français 2013. Faut-il les rajouter à la traduction en français pour la version 2017?

Uncommon 1

=> terme non traduit, dans le tableau du paragraphe "Quel est mon risque" dans la colonne prévalence de la faiblesse

Dans la mesure du possible, les noms des risques figurant dans le Top 10 sont alignés sur les faiblessesCommon Weakness Enumeration (CWE) afin de promouvoir des conventions d'appellation généralement acceptées et de réduire la confusion.

=> un petit espace manque entre faiblesses et Common

Bonjour,

Je viens d'uploader ma traduction pour la section A5 : Contrôle d'accès.

Bonjour, @vmalguy a finit de traduire en v0.1 cet élément. Vous pouvez le relire et commenter ici