Protéger son organisation des attaques par le système de build

Conference

Salle : Neuilly 252 AB

Horaire : Thursday 13:30 14:15

Résumé de la présentation :

Tous les jours, les développeurs assemblent du code des dizaines de fois. Parfois de façon transparente dans l’IDE, explicitement en ligne de commande ou sur l’environnement de CI. Lors de ces actions, la notion de sécurité est souvent reléguée au second plan voire simplement ignorée.

Cette présentation illustrera les vecteurs d’attaque et expliquera comment les mitiger. L’outil de build est par définition à risque car il s’agit d’un environnement d’exécution. Certaines pratiques permettent heureusement de réduire significativement ces risques:

  • S’assurer que les dépendances sont celles attendues
  • Rejeter les dépendances vulnérables (Log4j??)
  • Avoir un build reproductible
  • Utiliser un environnement éphémère
  • Valider les contributions externes

Nous illustrerons ces points avec Gradle mais la plupart des recommandations sont valables pour Apache Maven aussi.

archisec

Track : Architecture, Performance and Security

Niveau de la présentation : beginner/novice

Room Neuilly 252 AB

Louis Jacomet Louis Jacomet

Louis Jacomet has been perfecting his knowledge of Java for more than 15 years. Always a developer at heart, his role evolved over the last years to include technical team leading, coaching and some management. In addition to the bits and bytes, Louis is interested in people management skills mandatory to create a productive project team. To complete the buzzword bingo, Louis is interested in agile practices for the visibility, communication and result orientation it promotes. After working remotely from Belgium for Terracotta, with a focus on Ehcache, Louis is now part of the Gradle build tool team.