Sécurité intégrée (DevSecOps)

#Sécurité intégrée (DevSecOps)Copier le lien

On déplace la sécurité en amont: gestion des secrets hors code, analyse de dépendances, SBOM et politique de vulnérabilités, règles de build reproductibles, et scans d’images avant publication. En runtime, on applique le moindre privilège, on isole les workloads et on audite les accès. Les politiques déclaratives, comme OPA pour l’admission Kubernetes, rendent les règles vérifiables.

La sécurité est un flux, pas une étape finale: elle s’automatise, se mesure et s’améliore en continu. La chaîne d’approvisionnement logicielle devient un premier‑citoyen du système: provenance attestée, signature des artefacts et défense en profondeur jusqu’à la plateforme d’exécution.

#Exemple: politique Gatekeeper (OPA) — registre d’images autoriséCopier le lien

1apiVersion: templates.gatekeeper.sh/v1beta12kind: ConstraintTemplate3metadata: { name: k8sallowedrepos }4spec:5  crd:6    spec:7      names: { kind: K8sAllowedRepos }8      validation: { openAPIV3Schema: { properties: { repos: { type: array, items: { type: string } } } } }9  targets:10    - target: admission.k8s.gatekeeper.sh11      rego: |12        package k8sallowedrepos13        violation[{"msg": msg}] {14          image := input.review.object.spec.template.spec.containers[_].image