Salut les experts DevSecOps et Cyber !

🚨 Checkov : Le couteau suisse DevSecOps pour scanner vos IaC avant le déploiement !

On parle souvent de "shift-left" et d'intégrer la sécurité le plus tôt possible, mais concrètement, comment faire ça de manière efficace sans casser le workflow de dev ? Checkov mérite qu'on parle de lui sérieusement pour qui veut sécuriser son infra code dès la conception.

Checkov, ce n'est pas juste un scanner d'IaC, il fait aussi de l'analyse de composition logicielle (SCA) pour les images conteneurs et les packages open source. Ça veut dire qu'on a une vision assez complète, des vulnérabilités aux mauvaises configurations, tout ça avant même que le code ne touche l'environnement.

👉 Il couvre un spectre large de formats :
* Terraform
* CloudFormation
* Kubernetes
* Helm
* Kustomize
* Dockerfile
* Serverless Framework
* Bicep, OpenAPI, ARM Templates... la liste est longue.

Autant dire que peu importe votre stack IaC, il y a de fortes chances que Checkov s'y intègre sans souci. L'idée, c'est de choper les problèmes là où ils coûtent le moins cher à corriger : au moment où le dev écrit son code. Fini les surprises en prod !

Un point crucial qui revient souvent sur la table, c'est la détection des secrets. Checkov est là-dessus aussi, il sait repérer les identifiants et autres secrets qui traînent dans les configurations. On sait tous à quel point un secret exposé peut être dévastateur. C'est une couche de protection essentielle.

Enfin, et c'est souvent ce qui fait la différence avec ce genre d'outils : la personnalisation. On peut adapter les politiques de sécurité à nos besoins spécifiques, et surtout, gérer la suppression des faux positifs. Parce qu'une alerte trop bruyante, c'est une alerte ignorée. Avoir la main là-dessus est vital pour maintenir un outil utilisable et pertinent pour les équipes.

Pour creuser le sujet, le repo github: https://github.com/bridgecrewio/checkov

Pour une stratégie plus complète sur la supply chain, Checkov doit être complété par d'autres outils de SCA & SBOM: Trivy, Syft, Dependency-Track, etc. pour la visibilité sur les dépendances

Il y a d'autres outils de devSecOps, et Stephane ROBERT les courent dans sa doc:
* SAST: https://blog.stephane-robert.info/docs/securiser/analyser-code/sast/
* DAST: https://blog.stephane-robert.info/docs/securiser/analyser-code/dast/
* SCA: https://blog.stephane-robert.info/docs/securiser/analyser-code/sca/
* Sécurité des containers : https://blog.stephane-robert.info/docs/securiser/conteneurs/

Avez-vous déjà testé Checkov dans votre pipeline CI/CD? Partagez votre expérience! Quels sont vos critères pour choisir un outil d'analyse statique comme Checkov ?

#CyberSecurite #DevSecOps #CloudSecurity #Kubernetes #DockerSecurity #SCA #IaC #StaticCodeAnalysis #CloudNativeSecurity

If containers are now the backbone of modern delivery, why are we still securing them as an afterthought? 🤔

This article walks through a bottom-up hardening process that removes unnecessary components, verifies everything from source, and gives teams a security posture that’s proactive.

🔗 : https://www.activestate.com/blog/container-security-best-practices-for-modern-devsecops-teams/?utm_source=mastodon&utm_medium=organic_social&utm_campaign=blog

#DevSecOps #ContainerSecurity #SoftwareSupplyChain #SecureByDesign #CloudNativeSecurity #CICD #PlatformEngineering #OpenSourceSecurity #ActiveState

📣 KCD New York 2025 is calling on security experts to share their insights on securing cloud-native technologies!

📅 CFP Closes: Friday, Feb 28, 2025, at 11:59 PM EST
📢 Submit now: https://sessionize.com/kcd-new-york-2025/

#OSSSecurity #KCDNYC #CloudNativeSecurity #CFP

"They can request SBOMs til they're blue in the face, but there’s no framework in place for enforcement."
- @webjedi in my writeup of #SBOM-a-rama:
https://www.techtarget.com/searchitoperations/news/366542018/CISA-SBOM-standards-efforts-stymied-by-confusion-inertia

#softwaresupplychain #cybersecurity @CISAgov
#CISA #NTIA #NIST #FDA #softwaresupplychainsecurity #supplychainsecurity #softwarebillofmaterials #cloud #cloudsecurity #security #infrastructure #cloudnative #cloudnativesecurity #sbomarama

As KubeCon/CloudNativeCon Europe wraps up, a few quick thoughts:
- the topic of security within cloud-native was EVERYWHERE. I jokingly say KubeCon/CNCon is a security conference in disguise. This speaks to the growing importance of trust and reliability for those looking to deploy cloud-native tech stacks in production (which many many are).
- to me, there’s a nuance on how cloud-native community views security - the interest is more in building/using security functionality within the stack rather than after-the-fact security tooling.
- topics of interest? Growing role of platform engineering, eBPF-based monitoring/security, supply chain security (including SBOM), and more.

Deeper report for Omdia subscribers in the works. Stay tuned.

Next-up: BSidesSF and RSA Conference ! Looking forward to seeing friends old and new next week.

#supplychain #cloudsecurity #cloudnativesecurity #security

New from me today: Sidecarless #eBPF #servicemesh fuels ongoing debate at #KubeConEU

https://www.techtarget.com/searchitoperations/news/365535362/Sidecarless-eBPF-service-mesh-sparks-debate

#Isovalent #Cilium #solo.io Buoyant #CNCF #cloudnative #cybersecurity #Kubernetes #cloudnativesecurity