Session

03/10/2025 : 16h45 - 17h30 | Auditorium | Geoffrey Graveaud

Face à l’augmentation des cybermenaces, il est devenu important et stratégique de protéger les applications et leurs infrastructures. Dans ce cas, le DevSecOps permet d’intégrer la sécurité dès les premières étapes du cycle de développement et de faire des livraisons rapides et plutôt “sécure”.

Cependant, l’intégration de la sécurité dès le début du cycle de développement peut être un défi. Comment démarrer ? Comment s’y prendre ? Quels process pouvons-nous mettre en place ? Quels sont les bons repères ? Et enfin quels outils du monde de la sécurité peuvent être fiables et facilement intégrables dans un CICD ?

Une petite histoire du DevSecOps avec Trivy est un retour d’expérience sur l’intégration et l’utilisation d’un scanner de sécurité open source dans le cas de la création d’images Docker personnalisée pour une équipe de développement. Dans cette histoire présentée sous forme de démo live, nous verrons ensemble le fort potentiel de l’outil Trivy et comment celui-ci s’intègre aisément dans un process de création d’image Docker jusqu’à leur livraison.

En partant de la conception d’une image (Dockerfile) et en passant par l’analyse des composants systèmes (librairie système, outils natifs ou installés) d’images personnalisées (Phase Post build image) , puis en passant par la génération et de l’analyse des SBOMS (Software Bill Of Materials) et en terminant par la génération automatisée d’un rapport des failles de sécurités des images et de leurs dépendances sous différents formats (Markdown, Word,etc.).

Nous terminerons en parlant de l’intégration des SBOMS et de leur analyse via Trivy Server directement dans l’outil Dependency Track

Tout, tout, tout, vous saurez tout sur le shifting left security avec Trivy ! (ou presque)

Conférence
Archi, Perf et Sécu