Contenu du cours
Comprendre et Maîtriser DevSecOps de A à Z
0/22
DevSecOps Quiz
Leçon 1 : Introduction au DevSecOps – Définitions, Origines, Enjeux Stratégiques
Leçon 2 : Culture DevSecOps – Collaboration, Responsabilité Partagée, Modèle Shift Left
Leçon 3 : Intégration de la Sécurité dans le SDLC (Secure SDLC)
Leçon 4 : Environnements de Développement Sécurisés (IDE, Git, Gestion des Secrets, Contrôle de Versions)
Leçon 5 : Gestion des Dépendances et Sécurité des Packages Open Source
Leçon 6 : Sécuriser les Pipelines CI/CD
Leçon 7 : Analyse Statique de Code (SAST) – Concepts et Outils
Leçon 8 : Analyse Dynamique (DAST) et Tests de Sécurité Applicative
Leçon 9 : Sécurité des Conteneurs (Docker, Podman) et des Images
Leçon 10 : Sécurité dans Kubernetes – RBAC, Network Policies, OPA et Pod Security
Leçon 11 : Intégration des Scans de Vulnérabilités dans les Pipelines
Leçon 12 : Infrastructure as Code (IaC) Sécurisée (Terraform, Ansible, AWS CloudFormation)
Leçon 13 : Outils IaC Scanning – tfsec, Checkov, Terrascan, KICS
Leçon 14 : Gestion des Secrets et des Identités (Vault, AWS Secrets Manager, Azure Key Vault)
Leçon 15 : Surveillance, Logging et Détection de Menaces (ELK, Prometheus, Falco, Wazuh)
Leçon 16 : Tests d’Intrusion Automatisés et Intégration (OWASP ZAP, Nikto, Burp Suite)
Leçon 17 : Conformité, Gouvernance et Audits dans une Pipeline DevSecOps
Leçon 18 : Déploiement Sécurisé dans le Cloud (AWS, Azure, GCP)
Leçon 19 : Projet Pratique DevSecOps – Déployer un Pipeline CI/CD Sécurisé de Bout en Bout
Leçon 20 : Cas d’Usage Avancés, Tendances Futures et Certification DevSecOps
SonarQube Deep Demo: Static Application Security Testing (SAST)
Comprendre et Maîtriser DevSecOps de A à Z – Cours et 202 questions pratiques (Copie 1)

Objectifs

  • Comprendre le rôle de l’analyse statique de code dans un pipeline DevSecOps.

  • Découvrir les outils SAST (ex. SonarQube, Semgrep, Fortify, Checkmarx) et leurs fonctionnalités.

  • Intégrer l’analyse statique dans le processus CI/CD pour détecter les vulnérabilités dès l’écriture du code.

  • Appliquer les bonnes pratiques et configurer des jobs automatisés pour lancer des scans SAST.

  • Analyser les rapports générés et déterminer les actions correctives nécessaires.

Table des Matières

  1. Introduction à l’analyse statique (SAST)

  2. Enjeux et avantages de SAST dans DevSecOps

  3. Présentation des principaux outils SAST
     3.1. SonarQube
     3.2. Semgrep
     3.3. Fortify (OpenText)
     3.4. Checkmarx

  4. Intégrer SAST dans un Pipeline CI/CD
     4.1. Configuration d’un job SAST dans Jenkins
     4.2. Exemple de pipeline GitLab CI

  5. Étude de cas : Scannage SAST dans un environnement professionnel

  6. Exercices pratiques et corrigés détaillés
     6.1. Exercice : Configurer un scan SAST avec Semgrep
     6.2. Exercice : Intégrer Fortify dans un pipeline CI

  7. Quiz de révision

  8. Conclusion et transition vers la leçon suivante

1. Introduction à l’Analyse Statique (SAST)

  • Définition : Le SAST est l’analyse du code source sans exécution. Il recherche des vulnérabilités dans le flux de données, la gestion des entrées, et la logique de l’application.

  • Objectif SAST : Permet de corriger les failles dès la phase de développement, évitant des corrections coûteuses en production.

2. Enjeux et Avantages de SAST dans DevSecOps

  • Détection précoce : Réduction des coûts de correction.

  • Automatisation : Intégration dans CI/CD pour une détection continue.

  • Amélioration de la qualité : Réduction des risques et conformité aux standards de sécurité.

  • Responsabilité partagée : Implique tous les développeurs dans la sécurité du code.

3. Présentation des Outils SAST

3.1. SonarQube

  • Fonctionnalités : Analyse de la qualité du code, détection de vulnérabilités de sécurité, détection des bugs et duplication.

  • Intégration : Peut être intégré dans Jenkins, GitLab CI et autres outils.

3.2. Semgrep

  • Avantages : Rapide, open source, permet d’écrire des règles personnalisées pour détecter des patterns de vulnérabilités.

  • Utilisation : Commande simple, idéal pour les analyses ponctuelles ou dans un pipeline.

3.3. Fortify (OpenText)

  • Fonctionnalités : Analyse avancée avec règles prédéfinies, rapports détaillés, possibilité d’intégrer des plugins dans certains IDE pour une détection en temps réel.

  • Cas d’usage : Utilisé dans des environnements à haute criticité pour des audits de sécurité approfondis.

3.4. Checkmarx

  • Points forts : Outil commercial offrant une analyse approfondie et une intégration dans des pipelines CI/CD dans de grandes entreprises.

  • Comparaison : Souvent comparé à Fortify pour la robustesse de l’analyse.

4. Intégrer SAST dans un Pipeline CI/CD

4.1. Configuration d’un Job SAST dans Jenkins

Exemple de Jenkinsfile intégrant un scan avec Fortify :

groovy
pipeline {
agent any

stages {
stage('Build') {
steps {
echo 'Compilation de l’application...'
sh './build.sh'
}
}
stage('Analyse SAST') {
steps {
echo 'Lancement du scan SAST avec Fortify...'
sh 'fortify_scan --source ./src --ruleset fortify-python'
}
post {
unsuccessful {
error "Échec de l’analyse SAST : vulnérabilités critiques détectées."
}
}
}
stage('Test') {
steps {
echo 'Exécution des tests unitaires...'
sh 'pytest tests/'
}
}
stage('Deploy') {
steps {
echo 'Déploiement de l’application...'
sh './deploy.sh'
}
}
}
post {
always { echo "Pipeline terminé." }
}
}

Explication :

  • Le stage « Analyse SAST » lance Fortify sur le code source et bloque le pipeline si une vulnérabilité critique est détectée.

4.2. Exemple de Pipeline GitLab CI

Extrait YAML pour un job SAST avec Semgrep :

yaml
stages:
- build
- sast
- test
- deploy

build_job:
stage: build
script:
- echo "Compilation de l'application..."
- ./build.sh

sast_job:
stage: sast
script:
- echo "Analyse SAST avec Semgrep..."
- semgrep --config=auto ./src || exit 1
allow_failure: false

test_job:
stage: test
script:
- echo "Exécution des tests unitaires..."
- pytest tests/

deploy_job:
stage: deploy
script:
- echo "Déploiement de l'application..."
- ./deploy.sh

Explication :

  • Le job « sast_job » exécute Semgrep pour scanner le dossier ./src.

  • Le pipeline est bloqué si Semgrep détecte des erreurs critiques.

5. Analyse des Rapports et Prise de Décision

  • Lecture des Rapports SAST : Comprendre les alertes, leur niveau de sévérité, et identifier les failles à corriger.

  • Gating dans le Pipeline : Définir un seuil critique (par exemple, aucune vulnérabilité critique tolérée) qui empêche la progression du pipeline.

6. Études de Cas Professionnels

Exemple : Mise en Place SAST chez un Éditeur de Logiciels

  • Un éditeur intègre SonarQube dans son pipeline Jenkins et détecte des failles (injections potentielles, mauvaises pratiques de gestion des données) qui sont automatiquement remontées par SonarQube.

  • Grâce à cette approche, les correctifs sont appliqués immédiatement, réduisant ainsi le nombre d’incidents de sécurité en production.

7. Exercices Pratiques et Corrigés Détaillés

Exercice 1 : Configurer un Scan SAST avec Semgrep

  • Consigne : Installer Semgrep et lancer un scan sur un projet Python.

  • Corrigé :

    bash
    pip install semgrep
    semgrep --config=auto ./src

    Détail : L’utilisation du flag --config=auto permet de lancer des règles de sécurité génériques adaptées au code Python.

Exercice 2 : Intégrer Fortify dans un Pipeline Jenkins

  • Consigne : Modifier un Jenkinsfile pour y ajouter un stage d’analyse SAST via Fortify.

  • Corrigé : Voir l’exemple de Jenkinsfile ci-dessus.

Exercice 3 : Analyser un Rapport SAST et Proposer des Mesures Correctives

  • Consigne : Fournir un extrait de rapport SAST (format JSON ou texte) et identifier trois vulnérabilités critiques. Proposer pour chacune une action corrective (mise à jour de librairie, correction du code, renforcement de la validation des inputs).

  • Corrigé : L’apprenant doit lister, par exemple, une injection SQL détectée et recommander l’utilisation de requêtes paramétrées.

8. Quiz de Révision

  1. Qu’est-ce que le SAST ?
    A) Une analyse dynamique du code en exécution
    B) Une analyse statique du code source pour détecter des vulnérabilités
    C) Un outil de monitoring des performances

  2. Quel outil parmi les suivants est utilisé pour l’analyse statique ?
    A) OWASP ZAP
    B) Semgrep
    C) Trivy

  3. Quels sont les avantages d’intégrer un scan SAST dans un pipeline CI/CD ?

  4. Donnez une recommandation pour sécuriser le code lors de l’utilisation de requêtes SQL.

  5. Expliquez brièvement comment Fortify peut être intégré dans un pipeline CI/CD.

9. Conclusion et Prévisualisation

Conclusion de la Leçon 7
Vous avez découvert l’analyse statique (SAST), ses enjeux dans le cadre DevSecOps, et l’utilisation de plusieurs outils (SonarQube, Semgrep, Fortify, Checkmarx). Nous avons vu comment intégrer ces scans dans vos pipelines CI/CD pour détecter et corriger les vulnérabilités dès le début du cycle de développement, réduisant ainsi les risques de sécurité en production.

Prévisualisation de la Leçon 8
La prochaine leçon portera sur l’Analyse Dynamique (DAST) et les Tests de Sécurité Applicative. Vous apprendrez à tester votre application en conditions réelles via des outils comme OWASP ZAP et Burp Suite, afin de détecter des vulnérabilités non identifiables par une analyse statique.

Fin de la Leçon 7 (≈ 50 pages).

La Leçon 9 : Sécurité des Conteneurs et des Images

Objectifs

  • Comprendre l’importance de sécuriser les images conteneurisées et d’adopter des pratiques robustes pour la création d’images Docker.

  • Apprendre à construire des Dockerfile sécurisés et optimiser l’image pour réduire la surface d’attaque.

  • Déployer des scanners de vulnérabilités sur des images Docker et analyser les rapports pour prendre des mesures correctives.

  • Exposer les bonnes pratiques pour la sécurité des conteneurs dans une stratégie DevSecOps.

Table des Matières

  1. Objectifs et Présentation de la Leçon

  2. Introduction à la Sécurité des Conteneurs
     2.1. Pourquoi sécuriser les images conteneurisées ?
     2.2. Risques associés et bonnes pratiques fondamentales

  3. Construction d’Images Docker Sécurisées
     3.1. Choix d’une image de base minimale (ex. Alpine Linux)
     3.2. Exemple pratique de Dockerfile sécurisé

  4. Scanner des Images Docker
     4.1. Présentation des outils Trivy, Clair et Grype
     4.2. Démonstration de scans et interprétation des résultats

  5. Intégration dans un Pipeline CI/CD
     5.1. Intégration du scan des conteneurs dans Jenkins/GitLab CI
     5.2. Exemples d’extraits YAML ou Jenkinsfile

  6. Sécurisation des Images et Meilleures Pratiques
     6.1. Réduire la taille des images et supprimer les artefacts inutiles
     6.2. Exécuter les conteneurs avec des utilisateurs non-root
     6.3. Mise à jour régulière et patch management

  7. Études de Cas Professionnels
     7.1. Exemple dans une startup tech
     7.2. Exemple dans une entreprise bancaire

  8. Exercices Pratiques et Corrigés Détaillés
     8.1. Exercice : Créer un Dockerfile sécurisé et scanner l’image avec Trivy
     8.2. Exercice : Analyser et corriger un rapport de scan d’image

  9. Quiz de Révision

  10. Conclusion et Prévisualisation de la Leçon 10

1. Objectifs et Présentation de la Leçon

Objectifs :

  • Appréhender les enjeux de la sécurisation des conteneurs dans un contexte DevSecOps.

  • Savoir rédiger des Dockerfile pour minimiser les vulnérabilités.

  • Utiliser des outils de scanning pour détecter et corriger les failles dans les images Docker.

  • Intégrer ces contrôles dans le pipeline CI/CD et élaborer une stratégie de mise à jour régulière.

Présentation :

Cette leçon se focalise sur la sécurité des conteneurs. Elle vous présente les bonnes pratiques pour construire des images Docker sécurisées, explique comment utiliser des scanners comme Trivy, Clair et Grype, et montre comment intégrer ces outils dans un pipeline automatisé. Des exemples concrets et des exercices pratiques vous permettront d’appliquer ces concepts dans un environnement professionnel.

2. Introduction à la Sécurité des Conteneurs

2.1. Pourquoi sécuriser les images conteneurisées ?

  • La conteneurisation offre une portabilité et une isolation, mais expose également de nouvelles surfaces d’attaque.

  • Les images doivent être construites de manière minimale pour réduire le nombre de packages installés, limiter les exploits et protéger les données sensibles.

2.2. Risques associés et bonnes pratiques fondamentales

  • Risques : Inclusions de librairies vulnérables, configuration par défaut avec des privilèges élevés, inclusion d’informations sensibles.

  • Bonnes pratiques :

    • Utiliser des images de base minimales (ex. Alpine).

    • Exécuter le container avec un utilisateur non-root.

    • Nettoyer l’image (suppression de caches, de fichiers temporaires).

3. Construction d’Images Docker Sécurisées

3.1. Choix d’une Image de Base Minimale

  • Exemple : Utilisation d’une image Alpine qui limite la taille et la quantité de logiciels préinstallés.

3.2. Exemple Pratique de Dockerfile Sécurisé

dockerfile
# Utiliser une image de base minimale
FROM python:3.9-alpine

# Installer des dépendances nécessaires uniquement
RUN apk update && apk add --no-cache gcc musl-dev

# Créer un utilisateur non-root
RUN adduser -D appuser
USER appuser

# Définir le répertoire de travail
WORKDIR /app

# Copier le code source en assignant la propriété à l’utilisateur non-root
COPY --chown=appuser:appuser . .

# Installer les dépendances Python en mode non-root
RUN pip install --user -r requirements.txt

# Nettoyer les caches
RUN rm -rf /root/.cache

# Définir la commande de démarrage
CMD ["python", "app.py"]

Explication :

  • Utilisation d’une image Alpine pour réduire la surface d’attaque.

  • Création d’un utilisateur non-root et exécution du processus sous ce compte.

  • Installation soignée et nettoyage pour limiter les données résiduelles.

4. Scanner des Images Docker

4.1. Outils de Scan

  • Trivy : Rapide, léger, capable de scanner les vulnérabilités dans le système de fichiers de l’image.

  • Clair : Analyse statique des images, intégré dans les workflows CI/CD pour des rapports détaillés.

  • Grype : Outil moderne pour scanner les images et identifier les vulnérabilités dans divers composants.

4.2. Exécution d’un Scan avec Trivy

bash
trivy image myapp:latest

Explication :

  • La commande analyse l’image myapp:latest et retourne une liste de vulnérabilités avec leur niveau de sévérité.

5. Intégration dans un Pipeline CI/CD

5.1. Exemple d’Intégration Jenkins/GitLab CI

Extrait GitLab CI :

yaml
stages:
- build
- scan
- test
- deploy

build_job:
stage: build
script:
- echo "Construction de l'image Docker..."
- docker build -t myapp:latest .

scan_job:
stage: scan
script:
- echo "Exécution du scan de l'image avec Grype..."
- grype myapp:latest || exit 1
allow_failure: false

test_job:
stage: test
script:
- echo "Exécution des tests unitaires..."
- pytest tests/

deploy_job:
stage: deploy
script:
- echo "Déploiement de l'image..."
- ./deploy.sh

Explication :

  • Le stage « scan_job » lance le scanner Grype, et le pipeline est bloqué si des vulnérabilités critiques sont trouvées.

6. Sécurisation Continue et Bonnes Pratiques

  • Réduction de la Surface d’Attaque : Limiter les packages installés, supprimer les fichiers non nécessaires.

  • Exécution en Utilisateur Non-root : Configurer le container pour éviter les privilèges élevés.

  • Mise à Jour Régulière : Automatiser la vérification des mises à jour de sécurité dans les images.

  • Audit et Reporting : Collecter et analyser les rapports de scan pour piloter les actions correctives.

7. Études de Cas Professionnels

Exemple 1 : Sécurisation d’une Application Docker dans une Startup Tech

  • Utilisation d’un Dockerfile minimal et configuration d’une politique de déploiement non-root.

  • Scan avec Trivy et blocage automatique du pipeline en cas de vulnérabilités critiques.

Exemple 2 : Sécurisation de Conteneurs dans une Banque

  • Déploiement d’images conteneurisées vérifiées avec Clair et Grype.

  • Intégration dans un pipeline CI/CD pour valider la sécurité des images avant le déploiement sur Kubernetes.

8. Exercices Pratiques et Corrigés Détaillés

Exercice 1 : Créer un Dockerfile Sécurisé

  • Consigne : Rédiger un Dockerfile qui utilise une image Alpine, crée un utilisateur non-root et nettoie les caches post-installation.

  • Corrigé : Voir l’exemple précédent avec explications détaillées.

Exercice 2 : Scanner une Image avec Trivy

  • Consigne : Exécuter le scan sur une image Docker en utilisant Trivy et analyser les résultats.

  • Corrigé : Comparaison du rapport généré, identification des vulnérabilités, et discussion sur les correctifs à appliquer.

Exercice 3 : Intégrer le Scan dans un Pipeline CI/CD

  • Consigne : Écrire un extrait de fichier YAML pour GitLab CI qui inclut un stage de scan d’image, bloquant le pipeline si des vulnérabilités critiques sont détectées.

  • Corrigé : Voir l’exemple YAML présenté ci-dessus avec explications.

9. Quiz de Révision

  1. Quels sont les principaux risques liés à une image Docker non sécurisée ?

  2. Quel outil utiliseriez-vous pour scanner une image Docker, Trivy, Clair ou Grype ?

  3. Pourquoi est-il important d’exécuter le container avec un utilisateur non-root ?

  4. Décrivez brièvement l’intérêt d’intégrer le scan des conteneurs dans un pipeline CI/CD.

  5. Donnez un exemple de commande pour lancer un scan avec Trivy.

10. Conclusion et Prévisualisation de la Leçon 10

Conclusion de la Leçon 9
Vous avez appris comment construire des images Docker sécurisées, utiliser des outils de scanning (Trivy, Clair, Grype) pour détecter les vulnérabilités, et intégrer ces contrôles dans un pipeline CI/CD. Ces pratiques vous garantissent un niveau de sécurité optimal pour vos artefacts conteneurisés, réduisant ainsi les risques de déploiement de code vulnérable.

Prévisualisation de la Leçon 10
Dans la prochaine leçon (environ 50 pages), nous aborderons l’Analyse Dynamique (DAST) et les Tests de Sécurité Applicative. Vous découvrirez comment tester votre application en conditions réelles et intégrer des outils tels qu’OWASP ZAP et Burp Suite dans votre pipeline DevSecOps.

Précédent
Suivant