Les audits de code sont réalisés d’une part dans le cadre des évaluations Critères Communs (ISO/ IEC 15408) ou CSPN pour des produits à haut niveau d’assurance et d’autre part pour des clients dont les applications revêtent une sensibilité particulière et qui souhaitent avoir un haut niveau de garantie sur la sécurité de leurs applications.
Pour réaliser ces missions d’audit, Oppida s’appuie sur des outils d’analyse qui permettent d’identifier de nombreux types de vulnérabilités dans de nombreux langages de programmation. En complément, une analyse manuelle est systématiquement effectuée afin d’éliminer les éventuels « faux positifs » retournés par ces outils, de quantifier le risque lié à chaque vulnérabilité avérée et d’identifier les vulnérabilités qui ne sont pas issues d’erreur de codage mais d’erreur de conception.
Ce type d’audit est ainsi régulièrement mené pour les dispositifs de signature électronique.
Certaines prestations sont également réalisées dans un cadre réglementaire ou légal. Ainsi, des missions d’audit sont également menées dans le domaine des jeux en ligne, où Oppida se positionne fortement en tant qu’expert et réalise des audits selon le référentiel de l’ARJEL.
Ces audits de code aboutissent à la rédaction d’un rapport d’audit présentant les résultats de l’audit, les vulnérabilités identifiées et les actions hiérarchisées à mettre en place.