Tous les cours > L'informatique > Outils informatiques ::

11.14. Mise en place d'un pipeline d'intégration continue (CI) : sécurité dans le pipeline CI

Page 25 sur 59

+ Exercice
Image de l'article Mise en place d'un pipeline d'intégration continue (CI) : sécurité dans le pipeline CI

11.14. Configuration d'un pipeline d'intégration continue (CI) : sécurité dans le pipeline CI

L'intégration continue (CI) est une pratique de développement logiciel dans laquelle les développeurs fusionnent leurs modifications de code dans un référentiel central plusieurs fois par jour. Chaque intégration peut ensuite être vérifiée par une construction et des tests automatisés pour détecter rapidement les problèmes d'intégration. Cependant, il est tout aussi important qu’une intégration rapide d’assurer la sécurité de votre pipeline CI. La sécurité du pipeline CI est cruciale pour prévenir les vulnérabilités du code, les fuites d'informations sensibles et les accès non autorisés.

Principes de sécurité des pipelines CI

Avant de configurer votre pipeline CI, il est essentiel de comprendre et d'appliquer les principes de sécurité pour protéger à la fois le processus de développement logiciel et le produit. Certains de ces principes incluent :

  • Principe du moindre privilège : chaque processus ou utilisateur ne doit disposer que des autorisations nécessaires pour effectuer ses tâches.
  • Authentification et autorisation : il est essentiel de garantir que seuls les utilisateurs authentifiés et autorisés peuvent accéder au pipeline CI et y effectuer des opérations.
  • Gestion des secrets : les identifiants et les clés API doivent être stockés et gérés de manière sécurisée, à l'aide d'outils spécifiques à cet effet.
  • Audit et surveillance : conservez des enregistrements détaillés de toutes les activités en cours et surveillez activement les comportements suspects ou non autorisés.
  • Mises à jour et correctifs : gardez tous les outils, dépendances et composants système à jour pour éviter les vulnérabilités connues.

Mise en œuvre de la sécurité dans le pipeline CI

Voici les étapes et considérations relatives à la mise en œuvre de la sécurité dans un pipeline CI :

1. Authentification et contrôle d'accès

Utilisez une authentification forte, telle que l'authentification à deux facteurs (2FA), pour tous les utilisateurs accédant au pipeline CI. Définissez des politiques de contrôle d'accès basé sur les rôles (RBAC) pour limiter ce que chaque utilisateur ou processus peut faire dans le pipeline.

2. Gestion des secrets

Utilisez un outil de gestion des secrets pour stocker, alterner et accéder aux secrets tels que les jetons API, les clés SSH et les informations d'identification de la base de données. Des outils comme HashiCorp Vault, AWS Secrets Manager ou Azure Key Vault sont conçus à cet effet.

3. Analyse du code et des dépendances

Intégrez les outils d'analyse de code statique (SAST) et d'analyse de composition logicielle (SCA) dans le pipeline pour détecter les vulnérabilités de sécurité dans le code et les bibliothèques tierces. Des outils tels que SonarQube, Snyk ou WhiteSource peuvent être utilisés.

4. Tests de sécurité dynamiques

En plus de l'analyse statique, incluez des tests de sécurité dynamiques (DAST) pour simuler des attaques contre votre application dans un environnement de test. Cela permet d'identifier les failles de sécurité qui ne sont visibles que lorsque l'application est en cours d'exécution.

5. Construire la sécurité de l'environnement

Assurez-vous que l'environnement dans lequel la build est exécutée est sécurisé. Cela inclut l'utilisation de conteneurs sécurisés, de serveurs de build dédiés et la limitation de l'accès au réseau à ce qui est uniquement nécessaire.

6. Construire l'isolement

Mettez en œuvre l'isolation des builds pour empêcher qu'une build n'en affecte une autre et pour protéger l'environnement de build contre tout accès non autorisé. Cela peut être fait à l'aide de machines virtuelles, de conteneurs ou d'exécuteurs de build dédiés.

7. Protection contre les modifications de code

Assurez-vous que le code source et les artefacts de build sont protégés contre les modifications non autorisées. Utilisez des signatures numériques et des hachages pour vérifier l'intégrité des artefacts.

8. Surveillance et journalisation

Surveillez le pipeline CI pour détecter les activités suspectes et configurer la journalisation détaillée de toutes les opérations. Des outils de surveillance et des systèmes de gestion des journaux peuvent être intégrés pour fournir une visibilité et des alertes.

9. Formation et sensibilisation

Investissez dans la formation et la sensibilisation à la sécurité pour l'équipe de développement et d'exploitation. La sécurité est une responsabilité partagée, et toutes les personnes impliquées doivent connaître les meilleures pratiques et procédures.

10. Examen et audit continus

Effectuer des audits de sécurité réguliers du pipeline CI pour garantir que les politiques et contrôles de sécurité sont suivis et pour identifier et corriger les éventuelles lacunes.

Conclusion

La sécurité dans le pipeline CI est fondamentale pour développer des logiciels sécurisés. En mettant en œuvre les pratiques mentionnées ci-dessus, les organisationspeut garantir que votre processus d’intégration continue est robuste et sécurisé contre les menaces internes et externes. N'oubliez pas que la sécurité est un processus continu et doit évoluer avec l'évolution de la technologie et du paysage des menaces.

Répondez maintenant à l’exercice sur le contenu :

Lequel des éléments suivants ne constitue PAS une bonne pratique pour garantir la sécurité dans un pipeline d’intégration continue (CI) ?

Tu as raison! Félicitations, passez maintenant à la page suivante

Vous avez raté! Essayer à nouveau.

Image de l'article h15. Mise en place d'un pipeline d'intégration continue (CI) : surveillance et journalisation 26

Page suivante de lebook gratuit :

h15. Mise en place d'un pipeline d'intégration continue (CI) : surveillance et journalisation

Temps de lecture estimé : 0 minutes

Cet article appartient à lEbook gratuit:

Couverture de livre électronique gratuite Introduction au DevOps et à l'automatisation CI/CD (intégration continue et livraison continue)

Introduction au DevOps et à l'automatisation CI/CD (intégration continue et livraison continue)

5

(2)

59 pages

ApprendreOutils informatiques

Cours en ligne gratuits sur divers outils informatiques pour la gestion des systèmes, la réduction des coûts et les améliorations tels que GIT, Shell Script, entre autres.

Apprendre Outils informatiques

ApprendreL'informatique

Découvrez nos cours gratuits d'informatique en ligne : programmation web, bases de données, IA, Excel, sécurité des informations et plus. Apprenez les essentiels et au-delà !

Apprendre L'informatique
Téléchargez l'application pour obtenir une certification gratuite et écouter des cours en arrière-plan, même avec l'écran éteint.
QR Code - Baixar Cursa - Cursos Online

Téléchargez notre application via QR Code ou les liens ci-dessous :.

Get it on Google Play Get it on App Store

+ 9 millions
d'étudiants

Certificat gratuit et
valide avec QR Code

60 mille exercices
gratuits

Note de 4,8/5 dans les
magasins d'applications

Cours vidéo et livres
audio gratuits

L'informatique102 cours Excel, Word, LibreOffice et plus, 18 cours | Programmation web, 23 cours | Informatique de base, 8 cours | Base de données, 7 cours | Serveurs Web et réseaux informatiques, 5 cours | Programmation d'applications mobiles, 6 cours | Logique de programmation, 5 cours | Langages de programmation, 11 cours | Test de logiciel, 2 cours | Programmation de jeux, 6 cours | Développement back-end, 3 cours | Sécurité des informations, 1 cours | Intelligence artificielle et science des données, 2 cours | Outils informatiques, 4 cours | Systèmes opérationnels, 1 cours |
Langues et communication64 cours Anglais, 14 cours | Français, 8 cours | Espagnol, 9 cours | Chinois, 6 cours | Italien, 6 cours | Allemand, 5 cours | Japonais, 6 cours | Russe, 3 cours | Portugais, 3 cours | Coréen, 4 cours |
Gestion et affaires48 cours Marketing digital, 7 cours | Gestion de projet, 6 cours | Comptabilité, 7 cours | Entrepreneuriat et administration des affaires, 7 cours | Ventes, 5 cours | Investissements, 10 cours | Économie, 2 cours | Direction financière, 3 cours | Ressources humaines, 1 cours |
Professionnaliser72 cours Maintenance Automobile, 10 cours | Service client, secrétariat et accueil, 7 cours | Climatisation et Réfrigération, 3 cours | Mode, coupe et couture, 7 cours | Agent immobilier, 5 cours | Construction, 3 cours | Cuisson, 6 cours | Électronique, 6 cours | Menuiserie, 2 cours | La Coupe de cheveux, 2 cours | Entretien smartphone, 3 cours | Soudage, 1 cours | Autres métiers, 9 cours | Sécurité du lieu de travail, 1 cours | Agroalimentaire et Environnement, 1 cours | Propriété et sécurité privée, 1 cours | Ingénierie et mécanique, 5 cours |
Art et désign46 cours Graphisme, 15 cours | L'édition d'image, 10 cours | Montage vidéo, 6 cours | Modélisation 3D, 6 cours | Expérience utilisateur UX, 5 cours | Animations, 4 cours |
Éducation de base32 cours Rédaction et mémoire, 1 cours | Math, 6 cours | Physique, 5 cours | Histoire, 7 cours | Philosophie, 3 cours | Biologie, 6 cours | Chimie, 3 cours | Géographie, 1 cours |
Musique3 cours Piano et clavier, 2 cours | Guitare, 1 cours |
Esthétique10 cours Maquillage et soins de la peau, 6 cours | Nail Art, Manucure et Pédicure, 2 cours | Soins capillaires et Coiffure, 2 cours |
Santé35 cours personnes âgées et enfants, 5 cours | La nutrition, 6 cours | Premiers secours, 6 cours | Psychologie, 7 cours | Éducation physique, 8 cours | Allaitement, 3 cours |
Autres21 cours La photographie, 6 cours | Youtuber, 2 cours | Théâtre et cinéma, 1 cours | Danse, 6 cours | Des sports, 3 cours | Robotique / Arduino, 2 cours | Jeux et sports, 1 cours |

Ce site et l'application ont été développés dans le but d'aider les gens à trouver plus facilement des cours gratuits, car il y a beaucoup de contenu bon et gratuit sur youtube mais beaucoup de gens ne le savent pas.
contato@cursa.app

MEDEIROS TECNOLOGIA LTDA - CNPJ 24.471.978/0001-08

Accès dans d'autres langues :

Anglais Espagnol Portugais Hindi
Get it on Google Play Get it on App Store
DMCA.com Protection Status