DevSecOps
Avant de définir le DevSecOps, il faut définir le devops. Le devops est l’unification du développement logiciel (dev) et de l’administration des infrastructures informatiques (ops). C’est l’automatisation et le monitoring de toutes les étapes de la création d’un logiciel: depuis le développement et l’intégration, les tests, la livraison jusqu’au déploiement, l’exploitation et la maintenance des infrastructures. Le DevSecOps est l’intégration de la sécurité dans le cycle devops. La sécurité est donc un enjeu du projet au même titre que le développement et cela dès le début du cycle de vie d’un projet.
Quel est son rôle au sein d’un projet ?
C’est lui qui va être responsable de la sécurité de l’environnement et des données, mais aussi de celle des pipelines continuous integration ou des continuous Delivery. Les CI/CD sont des chaînes de tâches automatisées comme l’exécution de test, le build d’une application ou encore la mise en production de l’application. Il va donc pouvoir mettre en place l’intégration d’analyseurs de sécurité comme l’analyse statique du code ou encore celle des dépendances. Il va aussi automatiser les mises à jour de sécurité, mais aussi la recherche de nouvelles failles avec des scanneurs de vulnérabilité pour trouver les plus flagrantes. Ainsi la sécurité de tout le projet est poussée par le haut tout le temps afin d’avoir un niveau de sécurité correct.
En entreprise
Durant mon alternance, j’ai eu l’occasion de découvrir le monde du devops et me former à celui du DevSecOps. J’ai accompagné un projet depuis sa naissance et ainsi pu mettre en place dès le début de celui-ci de bonnes pratiques. Mais j’ai aussi eu la chance de rentrer en cours de route dans des projets de plusieurs années et voir la dette technique accumulée et les pratiques à éviter. Je vais continuer à travailler en tant que DevSecOps et ainsi rechercher les derniers moyens afin d’avoir le meilleur niveau de sécurité de la manière la plus simple possible. Depuis la fin de mon alternance j’ai eu l’occasion d’accompagner les différentes équipes qu’elles soit techniques ou non pour l’amélioration de la sécurité à leurs niveaux.
Voir aussi
