Un jour de novembre 2021, la tempête Log4Shell ou Log4J, s’abat sur le monde (java), les plus grands médias d’informations en continu vont sur le terrain pour interroger développeurs, serveurs… Comment pouvons-nous faciliter la recherche d’une telle vulnérabilité sur toutes nos applications, en cours de développement ou en production ? Trivy va être là, pour nous épauler dans cette fabuleuse enquête des recherches de vulnérabilités via une CI/CD.
Cet article fait suite au n°151 [1] où j’ai débuté l’histoire de Trivy, en détaillant quelques exemples d’utilisation de recherche de vulnérabilités pour des projets PHP, Node.js ou encore d’images Docker, directement sur un environnement local. Maintenant, nous allons pouvoir explorer son fonctionnement dans un contexte de CI/CD.
1. Les concepts d’analyses dans une CI/CD (SCA,SAST...)
Faisons un petit passage, pour entrapercevoir les différentes briques que peut comprendre une CI/CD (Intégration Continue & Déploiement Continu) pour sécuriser notre application de sa construction à son déploiement :
- SAST (Static Application Security Testing) : Les outils vont lire le code source à la recherche de code faillible : injections SQL, failles XSS, fonctions mathématiques non adaptées à des outils de chiffrement de données…
- DAST (Dynamic Application Security Testing) :…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
