Résumé de la présentation :
Tous les jours, les développeurs assemblent du code des dizaines de fois. Parfois de façon transparente dans l’IDE, explicitement en ligne de commande ou sur l’environnement de CI. Lors de ces actions, la notion de sécurité est souvent reléguée au second plan voire simplement ignorée.
Cette présentation illustrera les vecteurs d’attaque et expliquera comment les mitiger. L’outil de build est par définition à risque car il s’agit d’un environnement d’exécution. Certaines pratiques permettent heureusement de réduire significativement ces risques:
- S’assurer que les dépendances sont celles attendues
- Rejeter les dépendances vulnérables (Log4j??)
- Avoir un build reproductible
- Utiliser un environnement éphémère
- Valider les contributions externes
Nous illustrerons ces points avec Gradle mais la plupart des recommandations sont valables pour Apache Maven aussi.
Track : Architecture, Performance et Securité
Niveau de la présentation : débutant
La salle sera affectée entre 24 et 72h avant la conférence
>
Louis Jacomet
Louis Jacomet has been perfecting his knowledge of Java for more than 15 years. Always a developer at heart, his role evolved over the last years to include technical team leading, coaching and some management. In addition to the bits and bytes, Louis is interested in people management skills mandatory to create a productive project team. To complete the buzzword bingo, Louis is interested in agile practices for the visibility, communication and result orientation it promotes. After working remotely from Belgium for Terracotta, with a focus on Ehcache, Louis is now part of the Gradle build tool team.