Catégorie : DevSecOps

Publié le

Renovate – Automatiser la mise à jour de vos dépendances.

logo renovate

Vous démarrez un nouveau projet de développement et utilisez la dernière version disponible de votre framework de prédilection. Quelques mois plus tard, votre application est prête pour être déployée. Mais-avez vous remarqué que les dépendances sur lesquelles votre projet s’appuie ont évoluées entre temps ?

Les mises à jour des dépendances sont très souvent négligées, mais vous exposent à de la dette technique et de potentielles failles non bouchées.

Heureusement, il existe des outils pour vous aider à garder vos dépendances à jour de manière automatique. Dans ce billet nous allons parler de Renovate Bot.

Continuer la lecture de « Renovate – Automatiser la mise à jour de vos dépendances. »
Pages : 1 2
Publié le

Trivy – Un scanner de vulnérabilité simple et rapide

logo trivy

Les tests de sécurités sont une étape indispensable dans le cycle de vie de votre application et sont souvent exécutés par une cellule spécialisée dans une entreprise. Si vous êtes dans l’écosystème JAVA vous avez entendu parler de la faille critique touchant log4j CVE-2021-44228 qui a monopolisé les CISO et autre consultants sécurité des entreprises. La communauté InfoSec a documenté la faille et l’équipe Log4J l’a patché. Cependant, comment éviter que les futures constructions soient vulnérables sur ce point ? Ces tests sont réalisés le plus souvent en bout de chaine une fois l’ensemble des tests fonctionnels passés. Le DevOps et le DevSecOps poussent à lancer les tests de sécurités au plus tôt (Shift Left) afin de détecter et corriger le plus rapidement possible une vulnérabilité. Parmi les solutions existantes, on va se pencher sur Trivy, un scanner simple de vulnérabilités, qui peut vérifier les paquets OS (Alpine/Ubuntu…) et applicatifs (Maven, NPM, Nuget…).

Continuer la lecture de « Trivy – Un scanner de vulnérabilité simple et rapide »