Nous utilisons tous énormément de librairies pour nos frameworks et CMS, ce qui nous rend vulnérables au nombre de failles de sécurité toujours plus nombreuses. Ceci exige de notre part un suivi et une remontée performante des vulnérabilités sur les projets pour que l’on puisse réagir efficacement.
Dans cette optique, je vais vous raconter la douce histoire de l’outil Trivy que j’utilise régulièrement pour la recherche de vulnérabilités de projets PHP, Node.js ou encore d’images Docker. Dans ce premier article, on va découvrir ensemble les différentes fonctionnalités de Trivy et dans un second article, on s’orientera dans son utilisation dans un environnement de CI/CD.
1. Qu'est-ce qu'une vulnérabilité : CVE/CVSS/EPSS... ?
Avant tout, attardons-nous un peu sur une liste d’acronymes et de définitions autour des vulnérabilités. On va retrouver en premier ce qu’est une CVE pour Common Vulnerabilities and Exposures : il s’agit d’un référentiel de vulnérabilités identifiées pour des applications ou dépendances logicielles (librairies) ouvertes. Ce référentiel a été créé et géré par la société MITRE, financé par le Département de la sécurité intérieur américaine DHS et la CISA (agence de cybersécurité et de sécurité des infrastructures), l’équivalent…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première