Meetup #9 @Ippon : Trivy et CI

Ippon Technologies 🤝 CNCF Bordeaux

Lieu
44 All. de Tourny, 33000 Bordeaux
Détails
18:30 - Accueil des participantes et participants
19:00 - Début des talks
20:15 - Discussions et échanges
21:00 - Fermeture des locaux

Présentations

"Une petit histoire du DevSecOps avec Trivy" par Geoffrey GRAVEAUD

Face à l'augmentation des cybermenaces, il est devenu important et stratégique de protéger les applications et leurs infrastructures.
Dans ce cas, le DevSecOps permet d’intégrer la sécurité dès les premières étapes du cycle de développement et de faire des livraisons rapides et plutôt "sécure".
Cependant, l’intégration de la sécurité dès le début du cycle de développement peut être un défi. Comment démarrer ? Comment s’y prendre ? Quels process pouvons-nous mettre en place ? Quels sont les bons repères ? Et enfin quels outils du monde de la sécurité peuvent être fiables et facilement intégrables dans un CICD ?
Une petite histoire du DevSecOps avec Trivy est un retour d’expérience sur l’intégration et l’utilisation d’un scanner de sécurité open source dans le cas de la création d’images Docker personnalisée pour une équipe de développement.
Dans cette histoire présentée sous forme de démo live, nous verrons ensemble le fort potentiel de l’outil Trivy et comment celui-ci s’intègre aisément dans un process de création d’image Docker jusqu’à leur livraison.
En partant de la conception d'une image (Dockerfile) et en passant par l'analyse des composants systèmes (librairie système, outils natifs ou installés) d'images personnalisées (Phase Post build image) , puis en passant par la génération et de l'analyse des SBOMS (Software Bill Of Materials) et en terminant par la génération automatisée d'un rapport des failles de sécurités des images et de leurs dépendances sous différents formats (Markdown, Word,etc.).
Nous terminerons en parlant de l'intégration des SBOMS et de leur analyse via Trivy Server directement dans l'outil Dependency Track
Tout, tout, tout, vous saurez tout sur le shifting left security avec Trivy ! (ou presque)

"Au secours ma CI est un enfer ! Pourquoi la CI peut être un painpoint pour les devs au lieu d'être un accélérateur." par Benoit TOURON

Le DevOps, né en 2007 sous l'impulsion de Patrick Debois, repose sur quatre piliers fondamentaux : des équipes pluridisciplinaires, une culture de la mesure avec des objectifs communs, l'amélioration continue inspirée de l'agilité et l'automatisation. L'intégration continue (CI) constitue l'un des principaux outils pour implémenter cette approche.
Idéalement, la CI devrait simplifier le travail des équipes de développement. Pourtant, elle devient parfois une source de frustration et de complexité. Plusieurs facteurs expliquent ce paradoxe.
Dans ce meetup découvrez 3 erreurs communes qui transforment votre CI en point de peine pour vos développeurs là où elle devrait être un accélérateur.
Certaines solutions possibles sont abordées, mais la construction d’une CI efficace, performante et réellement utile est un vrai défi qu’il ne faut surtout pas négliger.