Contenu du cours
Comprendre et Maîtriser DevSecOps de A à Z
0/22
DevSecOps Quiz
Leçon 1 : Introduction au DevSecOps – Définitions, Origines, Enjeux Stratégiques
Leçon 2 : Culture DevSecOps – Collaboration, Responsabilité Partagée, Modèle Shift Left
Leçon 3 : Intégration de la Sécurité dans le SDLC (Secure SDLC)
Leçon 4 : Environnements de Développement Sécurisés (IDE, Git, Gestion des Secrets, Contrôle de Versions)
Leçon 5 : Gestion des Dépendances et Sécurité des Packages Open Source
Leçon 6 : Sécuriser les Pipelines CI/CD
Leçon 7 : Analyse Statique de Code (SAST) – Concepts et Outils
Leçon 8 : Analyse Dynamique (DAST) et Tests de Sécurité Applicative
Leçon 9 : Sécurité des Conteneurs (Docker, Podman) et des Images
Leçon 10 : Sécurité dans Kubernetes – RBAC, Network Policies, OPA et Pod Security
Leçon 11 : Intégration des Scans de Vulnérabilités dans les Pipelines
Leçon 12 : Infrastructure as Code (IaC) Sécurisée (Terraform, Ansible, AWS CloudFormation)
Leçon 13 : Outils IaC Scanning – tfsec, Checkov, Terrascan, KICS
Leçon 14 : Gestion des Secrets et des Identités (Vault, AWS Secrets Manager, Azure Key Vault)
Leçon 15 : Surveillance, Logging et Détection de Menaces (ELK, Prometheus, Falco, Wazuh)
Leçon 16 : Tests d’Intrusion Automatisés et Intégration (OWASP ZAP, Nikto, Burp Suite)
Leçon 17 : Conformité, Gouvernance et Audits dans une Pipeline DevSecOps
Leçon 18 : Déploiement Sécurisé dans le Cloud (AWS, Azure, GCP)
Leçon 19 : Projet Pratique DevSecOps – Déployer un Pipeline CI/CD Sécurisé de Bout en Bout
Leçon 20 : Cas d’Usage Avancés, Tendances Futures et Certification DevSecOps
SonarQube Deep Demo: Static Application Security Testing (SAST)
Comprendre et Maîtriser DevSecOps de A à Z – Cours et 202 questions pratiques (Copie 1)

Objectifs de la Leçon

À l’issue de cette leçon, vous serez en mesure de :

  • Comprendre les enjeux liés à la gestion des dépendances dans le contexte DevSecOps.

  • Identifier et analyser les risques associés aux packages open source (vulnérabilités, versions obsolètes, dépendances malveillantes).

  • Mettre en œuvre des pratiques et outils pour sécuriser la chaîne d’approvisionnement des logiciels.

  • Configurer et utiliser des repository managers tels que Nexus (ou Artifactory) pour centraliser et scanner les artefacts.

  • Intégrer des étapes de Security Composition Analysis (SCA) dans vos pipelines CI/CD.

  • Réaliser des exercices pratiques visant à scanner et corriger les vulnérabilités liées aux dépendances.

Table des Matières

  1. Introduction et Contexte de la Gestion des Dépendances

  2. Enjeux et Risques des Packages Open Source

  3. Outils et Repository Managers

    • Nexus Repository Manager

    • Artifactory

  4. Intégration de la Sécurité dans la Supply Chain Logicielle

    • Security Composition Analysis (SCA)

    • Outils de Scanning (Snyk, Nexus IQ, etc.)

  5. Mise en Place d’un Pipeline CI/CD Sécurisé

    • Exemple de configuration dans GitLab CI / Jenkins

  6. Exercices Pratiques et Corrigés

    • Exercice 1 : Configuration d’un Repository Manager

    • Exercice 2 : Intégration d’un job SCA dans un pipeline

  7. Quiz de Révision

  8. Conclusion et Prévisualisation de la Leçon 6

1. Introduction et Contexte

La gestion des dépendances est cruciale dans un environnement DevSecOps.

  • Définition : Les dépendances regroupent toutes les librairies et packages utilisés par une application.

  • Problématique : Une dépendance vulnérable ou obsolète peut introduire des failles de sécurité majeures dans l’application.

  • Objectif : Mettre en place des mécanismes pour contrôler, scanner et mettre à jour les packages de manière continue.

2. Enjeux et Risques des Packages Open Source

2.1 Risques majeurs

  • Vulnérabilités connues : Les failles signalées dans les librairies open source (ex. Log4j, Heartbleed).

  • Dépendances transitives : Une librairie utilisée peut dépendre d’autres packages présentant des failles.

  • Versions obsolètes : L’utilisation de versions non mises à jour peut laisser exposées des vulnérabilités corrigées dans les versions ultérieures.

  • Fournisseurs non fiables : Une mauvaise gestion ou un compromission d’un package peut introduire du code malveillant.

2.2 Conséquences Professionnelles

  • Répercussions sur la sécurité de l’application, pouvant mener à des fuites de données.

  • Coûts élevés en cas de faille exploitée en production.

  • Impact sur la réputation et non-conformité aux normes (RGPD, PCI DSS…).

3. Outils et Repository Managers

3.1 Nexus Repository Manager

  • Présentation :
    Nexus Repository Manager est un outil permettant de centraliser le stockage des artefacts (packages, librairies) et d’assurer le scanning de vulnérabilités.

  • Fonctionnalités Clés :

    • Stockage et proxy des dépôts (PyPI, Maven, npm, etc.).

    • Scanning intégré via Nexus IQ pour la sécurité des dépendances.

    • Gestion des versions et approbation des artefacts avant utilisation dans le build.

3.2 Artifactory

  • Alternative à Nexus, offrant également des fonctionnalités de repository manager, ainsi qu’une intégration avec divers outils CI/CD.

  • Comparaison :

    • Des fonctionnalités similaires pour la gestion des artefacts.

    • Support de multiples formats de packages.

3.3 Mise en œuvre

  • Exemple de configuration :

    • Création d’un repository “hosted” pour vos packages internes.

    • Proxy d’un repository “remote” pour accéder à PyPI.

    • Configuration d’un job de scanning (via Nexus IQ ou Snyk).

4. Intégration de la Sécurité dans la Supply Chain Logicielle

4.1 Security Composition Analysis (SCA)

  • Concept : SCA analyse l’ensemble des dépendances pour détecter des vulnérabilités connues.

  • Outils :

    • Snyk : Fournit une analyse et des conseils de correction.

    • Nexus IQ : Scanne les artefacts dans Nexus et produit des rapports détaillés sur les vulnérabilités.

  • Processus :

    • Scanner les dépendances après l’installation via pip (commande pip install configurée avec un wrapper SCA).

    • Intégrer ce scan dans le pipeline CI/CD pour bloquer les builds en cas de vulnérabilités critiques.

4.2 Exécution et Reporting Automatisé

  • Automatisation :

    • Utilisation d’un job CI/CD qui lance SCA après le build.

    • Mise en place de seuils de vulnérabilités pour déclencher des alertes.

  • Exemple :

    • Un pipeline Jenkins intègre une étape « dependency_scan » qui exécute Snyk ou Nexus IQ et qui, en cas d’échec, bloque le déploiement.

5. Mise en Place d’un Pipeline CI/CD Sécurisé

5.1 Exemple de Pipeline CI/CD avec GitLab CI (Extrait YAML)

Voici un extrait de fichier .gitlab-ci.yml intégrant des étapes de sécurité pour la gestion des dépendances :

yaml
stages:
- build
- scan_dependencies
- test
- deploy

build_job:
stage: build
script:
- echo "Compilation et packaging de l'application"

scan_dependencies:
stage: scan_dependencies
script:
- snyk test --severity-threshold=high || exit 1
allow_failure: false

test_job:
stage: test
script:
- pytest tests/

deploy_job:
stage: deploy
script:
- echo "Déploiement sur l'environnement de production"

Explications :

  • build_job : Compilation et packaging de l’application.

  • scan_dependencies : Lance un scan SCA avec Snyk. Le build échoue (exit 1) si des vulnérabilités critiques (seuil high) sont détectées.

  • test_job : Exécution des tests unitaires.

  • deploy_job : Déploiement final si toutes les étapes précédentes sont réussies.

6. Exercices Pratiques et Corrigés Détaillés

Exercice 1 : Configuration d’un Repository Manager Nexus

Objectif : Installer et configurer Nexus pour héberger un repository PyPI.

  • Consigne :

    • Installer Nexus Repository Manager sur une machine locale ou serveur.

    • Créer un repository “hosted” pour vos packages Python.

    • Configurer un repository “proxy” pour PyPI.

  • Corrigé Détaillé :

    1. Télécharger et installer Nexus (instructions sur le site de Sonatype).

    2. Accéder à l’interface d’administration, créer un nouveau repository de type “hosted” pour les artefacts internes.

    3. Créer un repository “proxy” pour PyPI et configurer les paramètres (URL du dépôt distant, caching, etc.).

    4. Tester la configuration en redirigeant pip install vers Nexus.

    5. Fournir des captures d’écran (schémas) et une explication détaillée pour chaque étape.

Exercice 2 : Intégration d’un Job de Scanning SCA dans un Pipeline CI/CD

Objectif : Modifier un pipeline CI/CD pour y intégrer une étape de scan des dépendances.

  • Consigne :

    • Fournir un extrait de pipeline (ex. GitLab CI ou Jenkinsfile) avec une étape de scan utilisant Snyk ou Nexus IQ.

  • Corrigé Détaillé :

    • Présenter un extrait de YAML (comme précédemment) et détailler chaque instruction.

    • Expliquer comment le job vérifie le seuil de vulnérabilités et bloque la pipeline en cas de problème.

Exercice 3 : Gestion des Secrets avec Git-Crypt ou Vault

Objectif : Configurer un outil de gestion des secrets pour éviter les fuites de credentials dans le code source.

  • Consigne :

    • Choisir entre Git-Crypt et HashiCorp Vault.

    • Mettre en place la solution, chiffrer un fichier contenant des clés API, et vérifier qu’aucune clé en clair n’est commitée.

  • Corrigé Détaillé :

    • Pour Git-Crypt : Installation et configuration dans un dépôt Git, création d’un fichier .gitattributes pour définir les fichiers à chiffrer.

    • Pour Vault : Commandes de base pour stocker et extraire un secret, et intégration dans un script Python via l’API REST de Vault.

    • Comparaison des deux méthodes avec avantages et inconvénients.

7. Quiz de Révision

Voici quelques questions pour vérifier vos acquis :

  1. Quelles sont les principales menaces associées aux dépendances open source ?
    A) Versions obsolètes et vulnérabilités connues
    B) Mauvaise lisibilité du code
    C) Problèmes d’interface utilisateur

  2. Quel outil permet de centraliser et scanner les artefacts et dépendances dans un pipeline CI/CD ?
    A) Git
    B) Nexus Repository Manager
    C) Jenkins

  3. Qu’est-ce que le Security Composition Analysis (SCA) ?
    A) Un outil pour analyser le code source uniquement
    B) Une technique pour analyser les dépendances et librairies
    C) Une méthode pour tester les performances des API

  4. Dans un pipeline CI/CD, qu’est-ce qui se passe si un job de scanning SCA trouve une vulnérabilité critique ?
    A) Le build continue
    B) Le job est ignoré
    C) Le pipeline est stoppé pour correction

  5. Donnez un exemple d’outil permettant de gérer les secrets dans un dépôt de code.

8. Conclusion

La Leçon 5 vous a permis de comprendre en profondeur :

  • Les risques associés aux dépendances open source et l’importance d’en maîtriser la sécurité.

  • L’utilisation d’outils comme Nexus (ou Artifactory) pour centraliser et scanner les packages.

  • L’intégration d’étapes de sécurité automatisées dans un pipeline CI/CD pour assurer la qualité et la conformité.

  • Des exercices pratiques vous ont guidé pas à pas dans la mise en œuvre d’exemples concrets, de la configuration d’un repository manager à la gestion des secrets.

9. Prévisualisation de la Leçon 6

Dans la Leçon 6 (environ 50 pages), nous aborderons la Sécurisation des Pipelines CI/CD. Nous verrons comment intégrer des outils tels que Jenkins, GitLab CI ou GitHub Actions pour automatiser les contrôles de sécurité (SAST, DAST, container scanning) et comment mettre en place des jobs de gating pour éviter des déploiements non sécurisés.

Précédent
Suivant