DEVOXX France

Programme 2023
Mohamed Abdennebi

Mohamed Abdennebi

Sfeir

Je suis Cloud Security Architect chez SFEIR et mon job est de concevoir et de construire des infrastructures cloud sécurisées “by design”. Je suis aussi développeur depuis plus de 15 ans et je code selon la situation (ou mon humeur) en Java, Python ou Go. J'interviens également sur la sécurisation des applications cloud natives, que ce soit en build ou en run. Et pour finir, je diffuse activement auprès des équipes les principes du DevSecOps et je les encourage à adopter une posture proactive de la sécurité.

Twitter : @abdennebi

Blog: https://blog.abdennebi.com/

archisec

Track : Architecture, Performance and Security

Type de présentation : Conference

Comment sécuriser votre software supply chain avec SLSA, Sigstore et Kyverno

Êtes-vous sûr que le code déployé en production est bien celui que vous pensez être ? Provient-il de votre CI/CD, d'un laptop d'un développeur ou pire, n'aurait-il pas été injecté par un attaquant ? Comment assurez-vous l'intégrité et la traçabilité de vos artefacts ?

Nous allons voir dans ce talk comment répondre à ces questions en utilisant SLSA.

Introduit et open sourcé par Google, SLSA est un cadre de sécurité qui renforce l'intégrité de votre chaîne de production logicielle ou Software Supply Chain. Son principe : améliorer par paliers successifs la protection du code source, sa construction et la distribution des artefacts.

Nous parlerons également de Sigstore, le Let's Encrypt de la signature du code, il nous permettra d’implémenter SLSA en rendant transparente la signature et l’attestation des artefacts.

Et pour faire la part belle à la pratique, nous verrons ensemble comment vérifier l'authenticité d'un container lors du déploiement dans Kubernetes grâce au moteur de règle Kyverno.