Les tests de sécurités sont une étape indispensable dans le cycle de vie de votre application et sont souvent exécutés par une cellule spécialisée dans une entreprise. Si vous êtes dans l’écosystème JAVA vous avez entendu parler de la faille critique touchant log4j CVE-2021-44228 qui a monopolisé les CISO et autre consultants sécurité des entreprises. La communauté InfoSec a documenté la faille et l’équipe Log4J l’a patché. Cependant, comment éviter que les futures constructions soient vulnérables sur ce point ? Ces tests sont réalisés le plus souvent en bout de chaine une fois l’ensemble des tests fonctionnels passés. Le DevOps et le DevSecOps poussent à lancer les tests de sécurités au plus tôt (Shift Left) afin de détecter et corriger le plus rapidement possible une vulnérabilité. Parmi les solutions existantes, on va se pencher sur Trivy, un scanner simple de vulnérabilités, qui peut vérifier les paquets OS (Alpine/Ubuntu…) et applicatifs (Maven, NPM, Nuget…).
Continuer la lecture de « Trivy – Un scanner de vulnérabilité simple et rapide »