DevSecOps++

Aif4thah · Nov 6, 2024 · db028a3 · db028a3
1 parent 6076b44
commit db028a3
Show file tree

Hide file tree

Showing 5 changed files with 33 additions and 4 deletions.
diff --git a/Dojo-101-Apprentissage/51-MESP-Audit-Github.md b/Dojo-101-Apprentissage/51-MESP-Audit-Github.md
@@ -6,18 +6,20 @@ Durée: 2 jours
 
 Ce contenu est publié sous licence "GNU GENERAL PUBLIC LICENSE Version 3" et les sources sont sur le projet Github Dojo-101, merci d'en tenir compte dans vos usages.
 
+
 ## Ressources
 
 * [Target Of Evaluation](https://github.com/Aif4thah/VulnerableLightApp)
 * [Chaine DevOps](https://learn.microsoft.com/fr-fr/azure/cloud-adoption-framework/ready/considerations/devops-toolchain#azure-devops-and-github-toolchain)
 * [Github security on MS learn](https://learn.microsoft.com/en-us/collections/rqymc6yw8q5rey)
 * [Blog Github Security](https://github.blog/category/security/)
 * [Snyk](https://docs.snyk.io/)
+* [Gitleaks](https://github.com/gitleaks/gitleaks)
 * [Octoscan](https://github.com/synacktiv/octoscan)
-* [Github security on MS learn](https://learn.microsoft.com/en-us/collections/rqymc6yw8q5rey)
 * [CodeQL](https://codeql.github.com/)
 * [Dependabot](https://github.com/dependabot)
 
+
 ## Contexte
 
 En tant que consultant DevOps. Vous devez examiner le dépôt GitHub en question afin d'identifier les mauvaises pratiques, en particulier en termes de sécurité :
@@ -43,9 +45,11 @@ Après ces deux jours d'audit, vous disposerez d'un troisième jour pour rédige
 
 Binôme ou seul (au choix)
 
+
 ## Modalités d'évaluation
 
-Relecture par le formateur du rapport d'audit finalisé
+Relecture par le formateur du rapport d'audit finalisé (md ou pdf)
+
 
 ## Livrables
 
@@ -54,12 +58,14 @@ Rapport avec identifications :
 * Des mauvaises pratiques
 * Des recommandations
 
+
 ## Critères de performance
 
 * Les points contrôlés sont pertinents Les vulnérabilités des composants sont identifiées Les risques et leurs menaces associées sont caractérisés 
 * Les outils, documents et sources d’information en anglais sont utilisés de façon fiable et sans erreur de compréhension
 * Les actions proposées répondent aux scénarios de menaces retenus Le suivi de la mise en œuvre est pris en compte et organisé Les procédures sont testées et documentées
 
+
 ## Pour finir
 
 Si vous avez apprécié ce cours et souhaitez valoriser votre travail, n'hésitez pas à ajouter une ⭐ au [projet](https://github.com/Aif4thah/Dojo-101)
diff --git a/Dojo-101-DevSec/Github-basics.md b/Dojo-101-DevSec/Github-basics.md
@@ -38,7 +38,7 @@
 
 ## Features générales
 
-* Copilote (IA)
+* Copilot (IA)
 * CodeSpace (VM & storage lié à une extension de l'éditeur)
 * Projects (Boards (Kanban), Data, Insight (Indicateurs), Automation (API, Github Actions))
 * InnerSource -> application des pratiques OpenSource sur des dépots privés d'entreprises
@@ -223,4 +223,10 @@ steps:
       example-command "$env:SUPER_SECRET"
 ```
 
-[Documentation Github](https://docs.github.com/fr/actions/security-for-github-actions/security-guides/using-secrets-in-github-actions)
+[Documentation Github](https://docs.github.com/fr/actions/security-for-github-actions/security-guides/using-secrets-in-github-actions)
+
+## Scan des secrets
+
+* defaut : A activer dans les options `security` -> `Secret scanning` et `push protection`
+
+* [Gitleaks](https://github.com/gitleaks/gitleaks) : dans le repartoire du `.git` via la commande `gitleaks detect -v`
diff --git a/Dojo-101-DevSec/SAST-CodeQL.md b/Dojo-101-DevSec/SAST-CodeQL.md
@@ -111,3 +111,8 @@ Go -> non testé – projet spécifique
 Java -> bon niveau, besoin de règles spécifiques Spring
 JavaScript / TypeScript -> bon niveau
 Python -> un test uniquement, multiples « false négatives »
+
+## Inclusion dans les CI-CD
+
+* [CodeQL-action](https://github.com/github/codeql-action)
+
diff --git a/Dojo-101-DevSec/SAST-dependance-middleware.md b/Dojo-101-DevSec/SAST-dependance-middleware.md
@@ -41,6 +41,12 @@ syntaxe: package@version
 * s'assurer que l'on va charcher les dépendance au bon endroit
 * parfois, mieux vaut télécharger les dépendances manuellement via pull request.
 
+### Github action
+
+certains CI-CD s'appuie sur des dépots publics tiers, comme par éxemple 
+
+
+
 ### npm
 
 fichier `.bpmrc` ou commande `npm config set registry`

diff --git a/Dojo-101-SecOps/PKI.md b/Dojo-101-SecOps/PKI.md
@@ -28,6 +28,12 @@
 * Le cas échéant, les protocoles d’enrôlement
 * Les erreurs d’implémentation ou de configuration
 
+## Revocation et vérification de validité
+
+* CRL (Ceritifcate Revocation list)
+
+* requêtes OCSP
+
 ## Emplacements des certificats
 
 ### Certstore Windows