Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Devcon Programmez Session Speciale

    Enviado por

    Amine Boubakeur
    32 visualizações17 páginas
    devcon_programmez_session_speciale

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    devcon_programmez_session_speciale

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    32 visualizações17 páginas

    Devcon Programmez Session Speciale

    Enviado por

    Amine Boubakeur
    devcon_programmez_session_speciale

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 17

    DevSecOps

    Pourquoi placer le “Sec” dans le DevOps ?

    Pierrick Prévert
    Security Solutions Architect, Qualys, Inc.
    La sécurité à la traîne

    Pour des raisons historiques comme organisationnelles, la sécurité est


    encore trop souvent ce qui arrive en bout de chaîne. Elle est posée
    autour d’applications “boîtes noires”.

    Le principal enjeu des entreprises est La sécurité consiste dans ce modèle à Les développeurs sont souvent
    encore de savoir ce qu’elles ont, avant trouver et patcher les vulnérabilités avant confrontés à la sécurité à posteriori :
    même de souhaiter le sécuriser : on ne qu’elles ne soient exploitées par sollicités par un DSO, un CSO qui vient
    peut sécuriser que ce que l’on connaît. d’autres. signaler des problèmes.

    2 Qualys, Inc. Corporate Presentation


    Un schéma habituel

    L’équipe développement livre une application complète

    L’équipe opérationnelle la met en (pré-)production

    L’équipe sécurité effectue un audit régulier ou ponctuel


    et signale les problèmes

    3 Qualys, Inc. Corporate Presentation


    La sécurité

    4 Qualys, Inc. Corporate Presentation


    Les mentalités évoluent

    Par l’effet médiatique et financier des failles révélées dans la presse

    Par le biais de contraintes réglementaires (eg. RGPD)

    Par les nouveaux techniciens et ingénieurs, mieux formés

    Par l’arrivée de nouvelles méthodologies

    5 Qualys, Inc. Corporate Presentation


    Le DevOps invite au changement

    6 Qualys, Inc. Corporate Presentation


    DevOps, un concept récent

    Créé en 2009 ce concept représente un changement organisationnel et


    culturel, poussé par la technologie, qui vise à associer les équipes de
    développement et les équipes opérationnelles.

    Vise à résoudre le conflit entre les Les méthodes de développement Agile, Basé sur des cycles courts, des tests en
    équipes de dév qui ont pour charge l’ originellement centrées sur le amont, de l’intégration continue et une
    évolution d’un projet et les équipes d’ops développement sont ici généralisées à la livraison continue (CI/CD), une évolution
    qui ont pour charge la stabilité. production. rapide par des retours utilisateurs.

    7 Qualys, Inc. Corporate Presentation


    Le DevOps s’impose… lentement

    Si ce concept s’est imposé dans les startups, les grandes entreprises


    “traditionnelles” commencent tout juste la transition.

    Notamment poussé par l’utilisation de Mais ces entreprises ont une forte Le DevOps invite à une véritable
    technologies de containerisation, de inertie, avec des centaines ou milliers de révolution interne, plus organisationnelle
    cloud computing, le DevOps s’impose projets développés par des équipes que technologique.
    progressivement dans toutes les différentes, avec des méthodologies
    entreprises. différentes.

    8 Qualys, Inc. Corporate Presentation


    Avec de nouveaux défis de sécurité

    Qu’est-ce qui est en production ?

    Quels sont les droits de la chaîne CI/CD ?

    Soit la sécurité arrive trop tard

    Soit la sécurité ralentit les livraisons

    9 Qualys, Inc. Corporate Presentation


    La sécurité

    10 Qualys, Inc. Corporate Presentation


    DevSecOps (2012)

    11 Qualys, Inc. Corporate Presentation


    Redéfinir la place de la sécurité

    La sécurité ne doit plus être une action punitive, ou bloquante, qui


    arrive en fin de cycle. Elle doit être intégrée tout au long du cycle.
    Chacun est responsable de la sécurité.

    12 Qualys, Inc. Corporate Presentation


    Du point de vue du développeur

    Inviter les équipes sécurité à réfléchir dès l’initialisation d’un projet

    Intégrer des outils de sécurité dans la chaîne CI/CD

    Similaire à l’approche DevOps “Shift Left Testing”

    13 Qualys, Inc. Corporate Presentation


    Les outils DevSecOps

    Static Application Security Testing (SAST)

    Dynamic Application Security Testing (DAST)

    Container security testing

    Cloud security assessment

    Agent-based security (IOC / FIM…)

    14 Qualys, Inc. Corporate Presentation


    CI/CD avec un DAST

    u ild
    Developers Fe
    ed unb
    ba a re
    ck ép
    P r

    ld
    n bui
    pa re u
    Pré HTTP

    Jenkins WAS Engine

    API
    Pour conclure

    La révolution DevOps commence. La révolution DevSecOps aura


    nécessairement lieu, car il en va de la survie de l’entreprise.

    16 Qualys, Inc. Corporate Presentation


    Merci

    pprevert@qualys.com

    17 Qualys, Inc. Corporate Presentation

    Você também pode gostar