Face Ă lâaugmentation des cybermenaces, il est devenu important et stratĂ©gique de protĂ©ger les applications et leurs infrastructures.
Dans ce cas, le DevSecOps permet dâintĂ©grer la sĂ©curitĂ© dĂšs les premiĂšres Ă©tapes du cycle de dĂ©veloppement et de faire des livraisons rapides et plutĂŽt âsĂ©cureâ.
Cependant, lâintĂ©gration de la sĂ©curitĂ© dĂšs le dĂ©but du cycle de dĂ©veloppement peut ĂȘtre un dĂ©fi. Comment dĂ©marrer ? Comment sây prendre ? Quels process pouvons-nous mettre en place ? Quels sont les bons repĂšres ? Et enfin quels outils du monde de la sĂ©curitĂ© peuvent ĂȘtre fiables et facilement intĂ©grables dans un CICD ?
Une petite histoire du DevSecOps avec Trivy est un retour dâexpĂ©rience sur lâintĂ©gration et lâutilisation dâun scanner de sĂ©curitĂ© open source dans le cas de la crĂ©ation dâimages Docker personnalisĂ©e pour une Ă©quipe de dĂ©veloppement.
Dans cette histoire prĂ©sentĂ©e sous forme de dĂ©mo live, nous verrons ensemble le fort potentiel de lâoutil Trivy et comment celui-ci sâintĂšgre aisĂ©ment dans un process de crĂ©ation dâimage Docker jusquâĂ leur livraison.
En partant de la conception dâune image (Dockerfile) et en passant par lâanalyse des composants systĂšmes (librairie systĂšme, outils natifs ou installĂ©s) dâimages personnalisĂ©es (Phase Post build image) , puis en passant par la gĂ©nĂ©ration et de lâanalyse des SBOMS (Software Bill Of Materials) et en terminant par la gĂ©nĂ©ration automatisĂ©e dâun rapport des failles de sĂ©curitĂ©s des images et de leurs dĂ©pendances sous diffĂ©rents formats (Markdown, Word,etc.).
Nous terminerons en parlant de lâintĂ©gration des SBOMS et de leur analyse via Trivy Server directement dans lâoutil Dependency Track
Tout, tout, tout, vous saurez tout sur le shifting left security avec Trivy ! (ou presque)
