Contenu du cours
Comprendre et Maîtriser DevSecOps de A à Z
0/22
DevSecOps Quiz
Leçon 1 : Introduction au DevSecOps – Définitions, Origines, Enjeux Stratégiques
Leçon 2 : Culture DevSecOps – Collaboration, Responsabilité Partagée, Modèle Shift Left
Leçon 3 : Intégration de la Sécurité dans le SDLC (Secure SDLC)
Leçon 4 : Environnements de Développement Sécurisés (IDE, Git, Gestion des Secrets, Contrôle de Versions)
Leçon 5 : Gestion des Dépendances et Sécurité des Packages Open Source
Leçon 6 : Sécuriser les Pipelines CI/CD
Leçon 7 : Analyse Statique de Code (SAST) – Concepts et Outils
Leçon 8 : Analyse Dynamique (DAST) et Tests de Sécurité Applicative
Leçon 9 : Sécurité des Conteneurs (Docker, Podman) et des Images
Leçon 10 : Sécurité dans Kubernetes – RBAC, Network Policies, OPA et Pod Security
Leçon 11 : Intégration des Scans de Vulnérabilités dans les Pipelines
Leçon 12 : Infrastructure as Code (IaC) Sécurisée (Terraform, Ansible, AWS CloudFormation)
Leçon 13 : Outils IaC Scanning – tfsec, Checkov, Terrascan, KICS
Leçon 14 : Gestion des Secrets et des Identités (Vault, AWS Secrets Manager, Azure Key Vault)
Leçon 15 : Surveillance, Logging et Détection de Menaces (ELK, Prometheus, Falco, Wazuh)
Leçon 16 : Tests d’Intrusion Automatisés et Intégration (OWASP ZAP, Nikto, Burp Suite)
Leçon 17 : Conformité, Gouvernance et Audits dans une Pipeline DevSecOps
Leçon 18 : Déploiement Sécurisé dans le Cloud (AWS, Azure, GCP)
Leçon 19 : Projet Pratique DevSecOps – Déployer un Pipeline CI/CD Sécurisé de Bout en Bout
Leçon 20 : Cas d’Usage Avancés, Tendances Futures et Certification DevSecOps
SonarQube Deep Demo: Static Application Security Testing (SAST)
Comprendre et Maîtriser DevSecOps de A à Z – Cours et 202 questions pratiques (Copie 1)

Table des Matières

  1. Objectifs et Résumé de la Leçon

  2. Introduction aux Pipelines CI/CD dans un Contexte DevSecOps

  3. Intégration des Contrôles de Sécurité dans le Pipeline
     3.1. Phase de Build : Compilation et Packaging sécurisé
     3.2. Phase de Scan Statique (SAST)
     3.3. Phase de Scan Dynamique (DAST) et Tests de Sécurité
     3.4. Scan des Conteneurs et Infrastructure as Code

  4. Outils et Technologies Utilisés
     4.1. Jenkins, GitLab CI et GitHub Actions
     4.2. Outils SAST (Fortify/OpenText, SonarQube, Semgrep)
     4.3. Outils DAST (OWASP ZAP, Burp Suite)
     4.4. Outils de Container Scanning (Trivy, Grype)

  5. Mise en Place Pratique d’un Pipeline Sécurisé
     5.1. Exemple de Jenkinsfile
     5.2. Extrait YAML pour GitLab CI

  6. Bonnes Pratiques et Gouvernance dans le Pipeline

  7. Études de Cas et Retours d’Expérience

  8. Exercices Pratiques et Corrigés Détaillés

  9. Quiz de Révision

  10. Conclusion et Prévisualisation de la Leçon Suivante

1. Objectifs et Résumé de la Leçon

Objectifs de la Leçon 6 :

  • Comprendre l’importance d’intégrer des contrôles de sécurité dans le pipeline CI/CD.

  • Savoir configurer un pipeline sécurisé en automatisant les étapes de build, de scan (SAST, DAST, container scanning) et de déploiement.

  • Apprendre à utiliser des outils dédiés (Jenkins, GitLab CI, GitHub Actions) pour orchestrer ces contrôles.

  • Découvrir comment les mécanismes de gating (arrêt du pipeline en cas de faille critique) améliorent la qualité du code livré.

Résumé :
Cette leçon explique comment transformer un pipeline CI/CD classique en un pipeline DevSecOps en y intégrant des tests de sécurité automatisés. Vous apprendrez à ajouter des étapes de scan statique, dynamique et de container scanning. Des exemples concrets et des extraits de configuration vous permettront de voir comment mettre en œuvre ces pratiques dans un environnement professionnel.

2. Introduction aux Pipelines CI/CD dans un Contexte DevSecOps

Les pipelines CI/CD assurent l’automatisation de la compilation, des tests, et du déploiement du code. Dans une approche DevSecOps, ces pipelines incluent en plus des étapes dédiées à la sécurité :

  • L’analyse statique du code (SAST) pour détecter les vulnérabilités dès l’écriture du code.

  • L’analyse dynamique (DAST) pour tester l’application en conditions réelles.

  • Le scan des conteneurs et des infrastructures as code (IaC scanning) pour garantir la sécurité des images et des configurations.

L’objectif est de bloquer automatiquement le déploiement en cas de détection d’une vulnérabilité critique, transformant ainsi la sécurité en un critère de qualité incontournable dès la phase de développement.

3. Intégration des Contrôles de Sécurité dans le Pipeline

3.1. Phase de Build : Compilation et Packaging Sécurisé

  • Build sécurisé : Lors de la compilation et du packaging de l’application, il est essentiel d’inclure des scripts qui vérifient la présence de dépendances vulnérables et la conformité du code.

  • Exemple pratique : Un job Jenkins qui compile le projet et qui archive le code source pour le scan.

3.2. Phase de Scan Statique (SAST)

  • SAST : Analyse le code source sans l’exécuter pour identifier les failles (ex. injections, erreurs de validation).

  • Outils Utilisés : Fortify (OpenText) – qui peut être intégré directement dans l’IDE ou dans le pipeline – ainsi que SonarQube ou Semgrep.

  • Workflow :

    1. Le code est scanné automatiquement après le build.

    2. Le rapport d’analyse est généré et, en cas de détection de vulnérabilités critiques, le pipeline est arrêté.

3.3. Phase de Scan Dynamique (DAST) et Tests de Sécurité

  • DAST : Teste l’application en cours d’exécution pour détecter des vulnérabilités non décelables par une analyse statique.

  • Outils Utilisés : OWASP ZAP, Burp Suite, ou Nikto.

  • Méthode :

    • Déployer l’application sur un environnement de staging sécurisé.

    • Lancer des tests automatisés pour simuler des attaques et obtenir des rapports de vulnérabilités.

3.4. Scan des Conteneurs et Infrastructure as Code

  • Container Scanning : Vérifier la sécurité des images Docker via Trivy ou Grype.

  • IaC Scanning : Utiliser Checkov ou tfsec pour analyser les fichiers Terraform/Ansible et garantir une configuration sécurisée.

4. Outils et Technologies Utilisés

4.1. Jenkins, GitLab CI, GitHub Actions

  • Jenkins : Plateforme d’automatisation open source, hautement configurable et extensible via des plugins.

  • GitLab CI et GitHub Actions : Solutions intégrées aux plateformes de gestion de code permettant de déclencher des pipelines à chaque commit.

4.2. Outils SAST

  • Fortify (OpenText) : Solution SAST puissante, qui peut être intégrée dans l’IDE ou exécutée en batch via une ligne de commande.

  • SonarQube et Semgrep : Alternatives populaires pour détecter des failles dans le code.

4.3. Outils DAST

  • OWASP ZAP : Outil open source pour le scanning dynamique en environnement de staging.

  • Burp Suite : Solution professionnelle pour des tests d’intrusion approfondis.

4.4. Outils de Container Scanning

  • Trivy et Grype : Scanners de vulnérabilités pour les images Docker.

5. Mise en Place Pratique d’un Pipeline Sécurisé

5.1. Exemples de Configuration

Exemple de Jenkinsfile Intégré avec Fortify et Trivy

groovy
pipeline {
agent any

stages {
stage('Build') {
steps {
echo 'Compilation et packaging de l’application...'
// Exemple : exécution d’un script de build
sh './build.sh'
}
}

stage('SAST Analysis') {
steps {
echo 'Analyse statique du code avec Fortify...'
// Lancer Fortify SCA sur le code source
sh 'fortify_scan --source ./src --ruleset fortify-python'
}
post {
unsuccessful {
error "L’analyse statique a détecté des vulnérabilités critiques."
}
}
}

stage('Container Scan') {
steps {
echo 'Scanning des images Docker avec Trivy...'
// Scanner l’image Docker générée
sh 'trivy image myapp:latest'
}
post {
unsuccessful {
error "Le scan des conteneurs a détecté des vulnérabilités critiques."
}
}
}

stage('Test') {
steps {
echo 'Exécution des tests unitaires...'
sh 'pytest tests/'
}
}

stage('Deploy') {
steps {
echo 'Déploiement en staging/production...'
sh './deploy.sh'
}
}
}

post {
always {
echo 'Nettoyage des ressources...'
}
}
}

Explications :

  • Le stage Build compile et package le code.

  • Le stage SAST Analysis exécute Fortify pour scanner le code ; en cas d’échec, le pipeline s’arrête.

  • Le stage Container Scan vérifie l’image Docker avec Trivy.

  • Les stages Test et Deploy garantissent que seules les versions validées sont déployées.

Exemple de Pipeline GitLab CI

yaml
stages:
- build
- scan
- test
- deploy

build_job:
stage: build
script:
- echo "Compilation et packaging de l'application"

sast_job:
stage: scan
script:
- fortify_scan --source ./src --ruleset fortify-python || exit 1
allow_failure: false

container_scan:
stage: scan
script:
- trivy image myapp:latest || exit 1
allow_failure: false

test_job:
stage: test
script:
- pytest tests/

deploy_job:
stage: deploy
script:
- echo "Déploiement de l'application..."

Explications complémentaires :

  • Chaque stage est configuré pour stopper le pipeline en cas d’erreur critique.

  • La combinaison de SAST et de container scanning renforce la sécurité en vérifiant aussi bien le code source que les artefacts générés.

6. Bonnes Pratiques et Gouvernance dans le Pipeline

  • Gouvernance : Mettre en place des règles strictes (gates) pour valider l’exécution des scans avant de passer aux phases de test et de déploiement.

  • Reporting et Alertes : Intégrer la remontée automatique des rapports et l’envoi de notifications (e-mail, Slack, etc.) en cas de détection de vulnérabilités.

  • Audit Continu : Planifier des audits réguliers du pipeline pour garantir qu’il reste conforme aux normes de sécurité et qu’il évolue avec le projet.

7. Études de Cas et Retours d’Expérience

Étude de Cas 1 : Pipeline CI/CD Sécurisé dans une Société Logicielle

  • Contexte : Une entreprise de développement de logiciels nécessite un pipeline de CI/CD qui intègre des contrôles de sécurité pour éviter de déployer du code vulnérable.

  • Implémentation :

    • Intégration de Fortify dans le processus de build pour analyser le code statique.

    • Utilisation de Trivy pour scanner l’image Docker générée.

    • Mise en place d’un système de gating qui bloque le déploiement si des vulnérabilités critiques sont détectées.

  • Résultat : Amélioration significative de la qualité du code, diminution de 60 % des incidents liés aux vulnérabilités en production.

Étude de Cas 2 : Pipeline Sécurisé dans un Environnement Cloud Bancaire

  • Contexte : Une institution financière doit se conformer à plusieurs normes de sécurité (PCI-DSS, RGPD).

  • Implémentation :

    • Utilisation d’une plateforme CI/CD (GitLab CI) avec des stages dédiés au SAST (Fortify) et au container scanning (Grype).

    • Mise en place d’un audit automatique et d’un reporting détaillé.

  • Résultat : Respect des exigences normatives et réduction des risques de fuites de données.

8. Exercices Pratiques et Corrigés Détaillés

Exercice 1 : Intégrer un Job SAST dans un Pipeline

Objectif : Configurer un job dans Jenkins ou GitLab CI qui exécute une analyse SAST avec Fortify.

Consigne :

  • Créez un script qui lance Fortify sur votre code source et renvoie un code d’erreur si des vulnérabilités de niveau critique sont détectées.

Corrigé :
Exemple de script bash pour un hook dans le pipeline :

bash
#!/bin/bash
echo "Exécution de Fortify SAST..."
fortify_scan --source ./src --ruleset fortify-python
if [ $? -ne 0 ]; then
echo "Vulnérabilités critiques détectées, arrêt du pipeline."
exit 1
fi
echo "Scan réussi, poursuite du pipeline."

Explication : Le script lance Fortify, vérifie le code retour (0 = succès) et arrête le pipeline en cas d’erreur.

Exercice 2 : Configurer le Container Scanning

Objectif : Intégrer une étape de scanning des images Docker avec Trivy dans un pipeline CI/CD.

Consigne :

  • Modifier votre pipeline pour ajouter un stage de container scanning après le build.

  • Bloquer le déploiement si des vulnérabilités critiques sont trouvées.

Corrigé :
Exemple d’extrait GitLab CI :

yaml
container_scan:
stage: scan
script:
- trivy image myapp:latest || exit 1

Explication : Le job exécute Trivy sur l’image Docker; un code d’erreur différent de 0 bloque la progression du pipeline.

Exercice 3 : Mise en Place d’un Hook de Sécurité pour Git

Objectif : Créer un hook pré-commit qui lance un outil de scanning (par exemple, gitleaks) pour détecter des secrets.

Consigne :

  • Rédiger un script de hook pré-commit (dans .git/hooks/pre-commit) qui exécute gitleaks et empêche le commit en cas de détection.

Corrigé :

bash
#!/bin/bash
echo "Lancement du scan de secrets avec gitleaks..."
gitleaks detect --source . --verbose
if [ $? -ne 0 ]; then
echo "Secrets détectés, commit annulé."
exit 1
fi
echo "Aucun secret trouvé, commit autorisé."

Explication : Le hook vérifie la présence de secrets grâce à gitleaks et bloque le commit s’il en trouve.

9. Quiz de Révision

  1. Quels sont les trois types de contrôles de sécurité à intégrer dans un pipeline CI/CD (SAST, DAST, Container Scanning) ?

  2. Expliquez brièvement le rôle d’un job de container scanning dans un pipeline DevSecOps.

  3. Quel outil peut être utilisé pour détecter des secrets dans le code source via un hook Git ?

  4. Que se passe-t-il dans un pipeline si une étape SAST renvoie un code d’erreur non nul ?

  5. Donnez un exemple de script qui intègre Fortify dans la pipeline.

10. Conclusion

Dans cette Leçon 6, vous avez appris à sécuriser les pipelines CI/CD en intégrant des contrôles automatiques dès le build jusqu’au déploiement. L’automatisation via des jobs pour le scanning statique (Fortify/OpenText, SonarQube, Semgrep), dynamique (OWASP ZAP, Burp Suite) et des scans de conteneurs (Trivy, Grype) permet d’assurer la qualité et la sécurité du code livré. Des exercices pratiques et des extraits de configuration vous ont permis de comprendre concrètement comment mettre en place ces mécanismes dans un environnement professionnel.

Prévisualisation de la Leçon 7

Dans la Leçon 7 (environ 50 pages), nous aborderons la sécurité des conteneurs et des clusters Kubernetes. Vous apprendrez :

  • À construire et sécuriser des images Docker,

  • À appliquer des politiques de sécurité dans Kubernetes,

  • À mettre en œuvre des mécanismes comme RBAC, Network Policies et OPA,

  • Et à intégrer ces contrôles dans un pipeline CI/CD.

Précédent
Suivant