Le poste est à pourvoir au sein de la R&D IA-TL ( IA & Technologies Logicielles).
IA-TL fait partie de la R&T, et sa mission est de fournir aux R&D, pour le siège français et les sites de R&D offshore, des services et outils visant à améliorer leur productivité et la qualité de leurs développements dans le domaine du Logiciel.

Objectifs du stage
1. Comparer et évaluer des outils SAST (CodeQL, Joern, Semgrep) sur
plusieurs bases de code représentatives.
2. Fournir des images Docker prêtes à l'emploi intégrant des règles
legacy par défaut.
3. Concevoir et implémenter une base de règles améliorée (focalisée
sur taint analysis) pour détecter des cas concrets récurrents et
spécifiques Sagemcom.

Déroulé du stage
Phase 1 — Évaluation et industrialisation SAST

- État de l'art et revue comparative des outils SAST (CodeQL, Joern,
Semgrep).
- Sélectionner des corpus de code tirer des trois urds (BBS/AVS/A􀀳T)
représentatifs et définir des métriques d'évaluation.
- 􀀳xécuter des campagnes SAST et produire un rapport comparatif.
- Packager chaque outil dans une image Docker dédiée.
- Documenter le processus d'utilisation et l'intégration des outils.

Phase 2 — Conception d’une base de règles "taint analysis"
- Recueillir et formaliser les cas d'usage vulnérables déjà rencontrés,
ainsi que les types de vulnérabilités recherchés pour chaque cas.
- Définir une ontologie simple des sources, sinks et transformations.
- Écrire et tester des règles taint (CodeQL et/ou Joern).
- Mettre en place un framework de tests automatisés.
- Proposer un mode de déploiement et mise à jour des règles.

Compétences & connaissances requises
- Formation : Étudiant(e) en dernière année, école d'ingénieur, master
en sécurité informatique, ou équivalent.
- Compétences techniques : Python, Java, C/C++, JavaScript, Scala
(apprécié), outils SAST, Docker, Linux.
- Scripting (Python, Bash), sécurité applicative (injections SQL, XX􀀳,
désérialisation, etc.).
- Qualités : rigueur, autonomie, capacité d'analyse et documentation,
force de proposition.
environnement
- Environnement de travail : poste Linux, accès dépôts internes, CI
Compétences acquises pendant le stage
- Maîtrise d'outils SAST (CodeQL, Joern, Semgrep)
- Conception et implémentation de règles taint analysis
- Industrialisation de processus (Docker, CI, tests)
- Rédaction de rapports techniques et restitution des résultats
- Compréhension plus apprfondie des vulnérabilités et leurs spécifités
selon chaque langage

Sagemcom est une entreprise handi-accueillante.

Un cadre de travail stimulant dans une entreprise internationale et engagée  

Un management de proximité et une grande autonomie dans les missions

CE, conciergerie, coiffeur, et restaurant d’entreprise