https://davidaparicio.gitlab.io/fr/codelabs/devoxxfr23/
https://github.com/davidaparicio/namecheck
https://github.com/davidaparicio/devsecops-workshop-devoxxfr23/blob/main/petstore/README.md
Vous connaissez probablement les Linux Install Parties ? Alors, faisons de même avec la Sécurité, nous allons suivre l'approche DevSecOps du ministère américain de la défense. Pour cela, rien de plus simple, venez avec votre ordinateur, votre projet opensource et vos outils (IDE, CI/CD). Après quelques slides de présentation, nous évolurons étape par étape dans la sécurisation de votre application. Si votre application est dockerisée, nous évonquerons les bonnes pratiques de l'ANSSI sur ce sujet. Nous verrons ainsi, à travers cet atelier, comment le GitOps/CI/CD permettent à nous et aux organisations d'améliorer notre posture face à la sécurité.
- Suivre la méthologie DevSecOps
- Modéliser la menace
- Outiller son éditeur de texte ou IDE favori
- Appliquer la sécurité as code, en ayant une confiance nulle (Zéro Trust)
- Programmer des tests de sécurité
- Configurer des tests statiques et dynamiques des applications
- Activer la signature numérique
- Transférer les binaires de manière sécurisée
- Mettre en place des scans et des patchs de sécurité
- Étudier les Audits de sécurité
- Monitorer et alerter sur les menaces actuelles