SlideShare une entreprise Scribd logo
Thématique
BUILD
& DEPLOY
DEVOXX FRANCE 2024
Eric SIBER
warmup
DEVOXX FRANCE 2024
Renforçons notre Developer eXperience
pour faire face aux menaces d'obsolescence
et de vulnérabilité
/ Tools In Action
LES MENACES D’OBSOLESCENCE
ET DE VULNÉRABILITÉ
DEVOXX FRANCE 2024
/PÉRIMÈTREDECETALK
L’obsolescence
ØDes librairies utilisées
ØDe notre façon d’écrire du code
Les risques sécurité
ØDans les librairies utilisées
ØDans notre code (volet SAST)
LES MENACES D’OBSOLESCENCE
ET DE VULNÉRABILITÉ
DEVOXX FRANCE 2024
/PÉRIMÈTREDECETALK
Certains écosystèmes, comme JavaScript,
viennent avec un premier support partiel
dans leur SDK
ØEx. : npm outdated
ØEx. : npm audit
Complété par des plugins / extensions
ØEx. eslint-plugin-security-node
summary
DEVOXX FRANCE 2024
/DÉROULÉ 1. SCA avec Maven
Démo en CLI
2. Support IDE
Démo avec IntelliJ
3. Outil intégré au DVCS
Démo Renovate avec Gitlab
4. Migration de codeS
Démo OpenRewrite
5. SBOM
Démo plugin Maven CycloneDX
LES
RÉFÉRENTIELS
DEVOXX FRANCE 2024
Pour savoir si une version de librairie est obsolète ou présente une
vulnérabilité, il faut pouvoir s’appuyer sur des référentiels
/LASOFTWARECOMPOSITIONANALYSIS(SCA)ETLES RÉFÉRENTIELS
Ø Des dépôts
ØDes bases de données
LES
RÉFÉRENTIELS
DEVOXX FRANCE 2024
Exemple avec un projet Java géré avec Maven
/LASOFTWARECOMPOSITIONANALYSIS(SCA)ETLES RÉFÉRENTIELS
Ø Avec le plugin Maven « versions »
Ø Avec le plugin Maven « dependency-check » (OWASP -
Open Worldwide Application Security Project)
ØBloquer un build selon la valeur des scores (CVSS)
LA
SCA
DANS
L’IDE
DEVOXX FRANCE 2024
Chaîne de Continuous Integration vs. Developer eXperience
/LA SCA DANS L’IDE
Ø « Maven Dependency Checker » plugin
Ø « Package Checker » plugin
LA
SCA
DANS
LA
PIC
DEVOXX FRANCE 2024
/LASCADANSLAPLATEFORMED’INTÉGRATIONCONTINUE
Main dans la main avec l’outil de gestion de version
LA
SCA
DANS
LA
PIC
DEVOXX FRANCE 2024
/LASCADANSLAPLATEFORMED’INTÉGRATIONCONTINUE
GitHub Dependabot vs. Renovate Bot
LA
SCA
DANS
LA
PIC
DEVOXX FRANCE 2024
/LASCADANSLAPLATEFORMED’INTÉGRATIONCONTINUE
Démo de Renovate qui sait s’adapter à votre contexte
LA
SCA
DANS
LA
PIC
DEVOXX FRANCE 2024
/LASCADANSLAPLATEFORMED’INTÉGRATIONCONTINUE
Démo de Renovate qui sait s’adapter à votre contexte
Ø Un support large de package managers
Ø De nombreuses options de configuration pour un fine
tuning du comportement à appliquer sur un dépôt
SCA
ET
MIGRATION
DE
CODE
DEVOXX FRANCE 2024
/SCAETMIGRATIONDECODE
« Automated code refactoring »
SCA
ET
MIGRATION
DE
CODE
DEVOXX FRANCE 2024
/SCAETMIGRATIONDECODE
« Automated code refactoring »
Démo avec OpenRewrite sur une base de code Spring Boot
Ø Migration 2.x vers 3.2
Ø Migration JUnit 4 vers JUnit 5
SCA
ET
MIGRATION
DE
CODE
DEVOXX FRANCE 2024
/SCAETMIGRATIONDECODE
Le champs d’application d’OpenRewrite est vaste
Ø Find and fix vulnerable dependencies
Ø Static analysis and remediation
Ø …
SCA
ET
STANDARDS
DEVOXX FRANCE 2024
/SCAETSTANDARDS
De nombreux acteurs, de nombreux écosystèmes
Ø Absence de standard au départ
Ø Le SBOM (Software Bill of Materials), apparu initialement en
2014, va au-delà de la SCA et vise à fournir une inventaire
complet de ce qui compose un logiciel
Ø Exigé par le gouvernement américain depuis mai 2021
SCA
ET
STANDARDS
DEVOXX FRANCE 2024
/SCAETSTANDARDS
Ø De nombreux standards sont par la suite apparus (ex.
SaaSBOM, ML-BOM, HBOM, etc.)
Ø SPDX a été créé par la Linux Foundation et reconnu comme
un standard SBOM en 2021
Ø A l’initiative de l’OWASP en 2017, CycloneDX est un projet
Open Source actif supportant SBOM et BOM en général
SBOM
EN
PRATIQUE
DEVOXX FRANCE 2024
/SBOMENPRATIQUESURUNPROJETJAVA
Ø Plugin Maven CycloneDX
Ø Exemple d’analyse d’un SBOM avec Snyk
SUMMARY
GUIDE
DEVOXX FRANCE 2024
THANKS
FOR WATCHING
DEVOXX FRANCE 2024
Eric SIBER
eric@agiledev.tech
eric@hackyourjob.com

Contenu connexe

Similaire à Renforçons notre Developer eXperience pour faire face aux menaces d'obsolescence et de vulnérabilité

Video Encoding Solution
Video Encoding SolutionVideo Encoding Solution
Video Encoding Solution
sthiebe
 
Module Encodage Easytouse Light
Module Encodage Easytouse LightModule Encodage Easytouse Light
Module Encodage Easytouse Light
fchaabane
 
Coder sans coder : Delphi en mode no code !
Coder sans coder : Delphi en mode no code !Coder sans coder : Delphi en mode no code !
Coder sans coder : Delphi en mode no code !
pprem
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
OCTO Technology
 
Comment développer pour Linux avec Delphi
Comment développer pour Linux avec DelphiComment développer pour Linux avec Delphi
Comment développer pour Linux avec Delphi
pprem
 
Amener vos applications Dockerisées jusqu’en production avec XebiaLabs
Amener vos applications Dockerisées jusqu’en production avec XebiaLabs �Amener vos applications Dockerisées jusqu’en production avec XebiaLabs �
Amener vos applications Dockerisées jusqu’en production avec XebiaLabs
XebiaLabs
 
Mon CV Detaillé
Mon CV Detaillé Mon CV Detaillé
Mon CV Detaillé
Hicham HADDAD
 
GAB 2017 PARIS - Docker sur Azure Container Services et DCOS par Michaël FERY...
GAB 2017 PARIS - Docker sur Azure Container Services et DCOS par Michaël FERY...GAB 2017 PARIS - Docker sur Azure Container Services et DCOS par Michaël FERY...
GAB 2017 PARIS - Docker sur Azure Container Services et DCOS par Michaël FERY...
AZUG FR
 
Diffuser nos logiciels et leurs mises à jour
Diffuser nos logiciels et leurs mises à jourDiffuser nos logiciels et leurs mises à jour
Diffuser nos logiciels et leurs mises à jour
pprem
 
CV - Database Administrator ( French )
CV - Database Administrator ( French )CV - Database Administrator ( French )
CV - Database Administrator ( French )
Franck VICTORIA
 
OpenShift en production - Akram Ben Assi & Eloïse Faure
OpenShift en production - Akram Ben Assi & Eloïse FaureOpenShift en production - Akram Ben Assi & Eloïse Faure
OpenShift en production - Akram Ben Assi & Eloïse Faure
Paris Container Day
 
Production logicielle, outils et pratiques
Production logicielle, outils et pratiquesProduction logicielle, outils et pratiques
Production logicielle, outils et pratiques
Johan Moreau
 
Internationaliser les projets VCL / FMX
Internationaliser les projets VCL / FMXInternationaliser les projets VCL / FMX
Internationaliser les projets VCL / FMX
pprem
 
Industrie 4.0 / usine du futur : retours concrets & faibles coûts
Industrie 4.0 / usine du futur : retours concrets & faibles coûtsIndustrie 4.0 / usine du futur : retours concrets & faibles coûts
Industrie 4.0 / usine du futur : retours concrets & faibles coûts
FactoVia
 
0251-formation-java-programmation-objet.pdf
0251-formation-java-programmation-objet.pdf0251-formation-java-programmation-objet.pdf
0251-formation-java-programmation-objet.pdf
Ombotimbe Salifou
 
MVC / Frameworks PHP
MVC / Frameworks PHPMVC / Frameworks PHP
MVC / Frameworks PHP
Jean-Marie Renouard
 
OpenStack & DevOps, l'Open Source au service du Cloud
OpenStack & DevOps, l'Open Source au service du CloudOpenStack & DevOps, l'Open Source au service du Cloud
OpenStack & DevOps, l'Open Source au service du Cloud
Michel-Marie Maudet
 
Découvrez FireDAC pour FMX
Découvrez FireDAC pour FMXDécouvrez FireDAC pour FMX
Découvrez FireDAC pour FMX
pprem
 
Vagrant - Concept
Vagrant - ConceptVagrant - Concept
Vagrant - Concept
Julien Dubreuil
 
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
Publicis Sapient Engineering
 

Similaire à Renforçons notre Developer eXperience pour faire face aux menaces d'obsolescence et de vulnérabilité (20)

Video Encoding Solution
Video Encoding SolutionVideo Encoding Solution
Video Encoding Solution
 
Module Encodage Easytouse Light
Module Encodage Easytouse LightModule Encodage Easytouse Light
Module Encodage Easytouse Light
 
Coder sans coder : Delphi en mode no code !
Coder sans coder : Delphi en mode no code !Coder sans coder : Delphi en mode no code !
Coder sans coder : Delphi en mode no code !
 
La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!La Duck Conf - Continuous Security : Secure a DevOps World!
La Duck Conf - Continuous Security : Secure a DevOps World!
 
Comment développer pour Linux avec Delphi
Comment développer pour Linux avec DelphiComment développer pour Linux avec Delphi
Comment développer pour Linux avec Delphi
 
Amener vos applications Dockerisées jusqu’en production avec XebiaLabs
Amener vos applications Dockerisées jusqu’en production avec XebiaLabs �Amener vos applications Dockerisées jusqu’en production avec XebiaLabs �
Amener vos applications Dockerisées jusqu’en production avec XebiaLabs
 
Mon CV Detaillé
Mon CV Detaillé Mon CV Detaillé
Mon CV Detaillé
 
GAB 2017 PARIS - Docker sur Azure Container Services et DCOS par Michaël FERY...
GAB 2017 PARIS - Docker sur Azure Container Services et DCOS par Michaël FERY...GAB 2017 PARIS - Docker sur Azure Container Services et DCOS par Michaël FERY...
GAB 2017 PARIS - Docker sur Azure Container Services et DCOS par Michaël FERY...
 
Diffuser nos logiciels et leurs mises à jour
Diffuser nos logiciels et leurs mises à jourDiffuser nos logiciels et leurs mises à jour
Diffuser nos logiciels et leurs mises à jour
 
CV - Database Administrator ( French )
CV - Database Administrator ( French )CV - Database Administrator ( French )
CV - Database Administrator ( French )
 
OpenShift en production - Akram Ben Assi & Eloïse Faure
OpenShift en production - Akram Ben Assi & Eloïse FaureOpenShift en production - Akram Ben Assi & Eloïse Faure
OpenShift en production - Akram Ben Assi & Eloïse Faure
 
Production logicielle, outils et pratiques
Production logicielle, outils et pratiquesProduction logicielle, outils et pratiques
Production logicielle, outils et pratiques
 
Internationaliser les projets VCL / FMX
Internationaliser les projets VCL / FMXInternationaliser les projets VCL / FMX
Internationaliser les projets VCL / FMX
 
Industrie 4.0 / usine du futur : retours concrets & faibles coûts
Industrie 4.0 / usine du futur : retours concrets & faibles coûtsIndustrie 4.0 / usine du futur : retours concrets & faibles coûts
Industrie 4.0 / usine du futur : retours concrets & faibles coûts
 
0251-formation-java-programmation-objet.pdf
0251-formation-java-programmation-objet.pdf0251-formation-java-programmation-objet.pdf
0251-formation-java-programmation-objet.pdf
 
MVC / Frameworks PHP
MVC / Frameworks PHPMVC / Frameworks PHP
MVC / Frameworks PHP
 
OpenStack & DevOps, l'Open Source au service du Cloud
OpenStack & DevOps, l'Open Source au service du CloudOpenStack & DevOps, l'Open Source au service du Cloud
OpenStack & DevOps, l'Open Source au service du Cloud
 
Découvrez FireDAC pour FMX
Découvrez FireDAC pour FMXDécouvrez FireDAC pour FMX
Découvrez FireDAC pour FMX
 
Vagrant - Concept
Vagrant - ConceptVagrant - Concept
Vagrant - Concept
 
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
Open XKE - Introduire le Continuous Delivery dans votre entreprise par Jean-L...
 

Plus de Eric SIBER

Spring Meetup Paris - Back to the basics of Spring (Boot)
Spring Meetup Paris - Back to the basics of Spring (Boot)Spring Meetup Paris - Back to the basics of Spring (Boot)
Spring Meetup Paris - Back to the basics of Spring (Boot)
Eric SIBER
 
La relecture de code : avant tout des pratiques
La relecture de code : avant tout des pratiquesLa relecture de code : avant tout des pratiques
La relecture de code : avant tout des pratiques
Eric SIBER
 
Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! - Agil...
Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! - Agil...Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! - Agil...
Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! - Agil...
Eric SIBER
 
Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! - Agil...
Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! - Agil...Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! - Agil...
Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! - Agil...
Eric SIBER
 
Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! Agile ...
Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! Agile ...Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! Agile ...
Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! Agile ...
Eric SIBER
 
Si t'es pas développeur à 40 ans ... il n'est pas trop tard - BreizhCamp 2017
Si t'es pas développeur à 40 ans ... il n'est pas trop tard - BreizhCamp 2017Si t'es pas développeur à 40 ans ... il n'est pas trop tard - BreizhCamp 2017
Si t'es pas développeur à 40 ans ... il n'est pas trop tard - BreizhCamp 2017
Eric SIBER
 
De la culture de l'apprentissage à l'organisation apprenante
De la culture de l'apprentissage à l'organisation apprenanteDe la culture de l'apprentissage à l'organisation apprenante
De la culture de l'apprentissage à l'organisation apprenante
Eric SIBER
 
Personal Kanban depuis les tranchées avec Trello - Meetup Trello France
Personal Kanban depuis les tranchées avec Trello - Meetup Trello FrancePersonal Kanban depuis les tranchées avec Trello - Meetup Trello France
Personal Kanban depuis les tranchées avec Trello - Meetup Trello France
Eric SIBER
 
Libérez vos talents - version BBL
Libérez vos talents - version BBLLibérez vos talents - version BBL
Libérez vos talents - version BBL
Eric SIBER
 
[Agile Laval 2016] La relecture de code : avant tout des pratiques
[Agile Laval 2016] La relecture de code : avant tout des pratiques[Agile Laval 2016] La relecture de code : avant tout des pratiques
[Agile Laval 2016] La relecture de code : avant tout des pratiques
Eric SIBER
 
Personal Kanban depuis les tranchées - Culture Kanban 2016
Personal Kanban depuis les tranchées - Culture Kanban 2016Personal Kanban depuis les tranchées - Culture Kanban 2016
Personal Kanban depuis les tranchées - Culture Kanban 2016
Eric SIBER
 
Libérez vos talents - Agile France 2016
Libérez vos talents - Agile France 2016Libérez vos talents - Agile France 2016
Libérez vos talents - Agile France 2016
Eric SIBER
 
[BreizhCamp 2016] La relecture de code : avant tout des pratiques
[BreizhCamp 2016] La relecture de code : avant tout des pratiques[BreizhCamp 2016] La relecture de code : avant tout des pratiques
[BreizhCamp 2016] La relecture de code : avant tout des pratiques
Eric SIBER
 

Plus de Eric SIBER (13)

Spring Meetup Paris - Back to the basics of Spring (Boot)
Spring Meetup Paris - Back to the basics of Spring (Boot)Spring Meetup Paris - Back to the basics of Spring (Boot)
Spring Meetup Paris - Back to the basics of Spring (Boot)
 
La relecture de code : avant tout des pratiques
La relecture de code : avant tout des pratiquesLa relecture de code : avant tout des pratiques
La relecture de code : avant tout des pratiques
 
Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! - Agil...
Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! - Agil...Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! - Agil...
Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! - Agil...
 
Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! - Agil...
Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! - Agil...Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! - Agil...
Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! - Agil...
 
Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! Agile ...
Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! Agile ...Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! Agile ...
Si t'es toujours pas développeur à 40 ans ... il n'est pas trop tard ! Agile ...
 
Si t'es pas développeur à 40 ans ... il n'est pas trop tard - BreizhCamp 2017
Si t'es pas développeur à 40 ans ... il n'est pas trop tard - BreizhCamp 2017Si t'es pas développeur à 40 ans ... il n'est pas trop tard - BreizhCamp 2017
Si t'es pas développeur à 40 ans ... il n'est pas trop tard - BreizhCamp 2017
 
De la culture de l'apprentissage à l'organisation apprenante
De la culture de l'apprentissage à l'organisation apprenanteDe la culture de l'apprentissage à l'organisation apprenante
De la culture de l'apprentissage à l'organisation apprenante
 
Personal Kanban depuis les tranchées avec Trello - Meetup Trello France
Personal Kanban depuis les tranchées avec Trello - Meetup Trello FrancePersonal Kanban depuis les tranchées avec Trello - Meetup Trello France
Personal Kanban depuis les tranchées avec Trello - Meetup Trello France
 
Libérez vos talents - version BBL
Libérez vos talents - version BBLLibérez vos talents - version BBL
Libérez vos talents - version BBL
 
[Agile Laval 2016] La relecture de code : avant tout des pratiques
[Agile Laval 2016] La relecture de code : avant tout des pratiques[Agile Laval 2016] La relecture de code : avant tout des pratiques
[Agile Laval 2016] La relecture de code : avant tout des pratiques
 
Personal Kanban depuis les tranchées - Culture Kanban 2016
Personal Kanban depuis les tranchées - Culture Kanban 2016Personal Kanban depuis les tranchées - Culture Kanban 2016
Personal Kanban depuis les tranchées - Culture Kanban 2016
 
Libérez vos talents - Agile France 2016
Libérez vos talents - Agile France 2016Libérez vos talents - Agile France 2016
Libérez vos talents - Agile France 2016
 
[BreizhCamp 2016] La relecture de code : avant tout des pratiques
[BreizhCamp 2016] La relecture de code : avant tout des pratiques[BreizhCamp 2016] La relecture de code : avant tout des pratiques
[BreizhCamp 2016] La relecture de code : avant tout des pratiques
 

Renforçons notre Developer eXperience pour faire face aux menaces d'obsolescence et de vulnérabilité