Salut les experts DevSecOps et Cyber !

🚨 Checkov : Le couteau suisse DevSecOps pour scanner vos IaC avant le déploiement !

On parle souvent de "shift-left" et d'intégrer la sécurité le plus tôt possible, mais concrètement, comment faire ça de manière efficace sans casser le workflow de dev ? Checkov mérite qu'on parle de lui sérieusement pour qui veut sécuriser son infra code dès la conception.

Checkov, ce n'est pas juste un scanner d'IaC, il fait aussi de l'analyse de composition logicielle (SCA) pour les images conteneurs et les packages open source. Ça veut dire qu'on a une vision assez complète, des vulnérabilités aux mauvaises configurations, tout ça avant même que le code ne touche l'environnement.

👉 Il couvre un spectre large de formats :
* Terraform
* CloudFormation
* Kubernetes
* Helm
* Kustomize
* Dockerfile
* Serverless Framework
* Bicep, OpenAPI, ARM Templates... la liste est longue.

Autant dire que peu importe votre stack IaC, il y a de fortes chances que Checkov s'y intègre sans souci. L'idée, c'est de choper les problèmes là où ils coûtent le moins cher à corriger : au moment où le dev écrit son code. Fini les surprises en prod !

Un point crucial qui revient souvent sur la table, c'est la détection des secrets. Checkov est là-dessus aussi, il sait repérer les identifiants et autres secrets qui traînent dans les configurations. On sait tous à quel point un secret exposé peut être dévastateur. C'est une couche de protection essentielle.

Enfin, et c'est souvent ce qui fait la différence avec ce genre d'outils : la personnalisation. On peut adapter les politiques de sécurité à nos besoins spécifiques, et surtout, gérer la suppression des faux positifs. Parce qu'une alerte trop bruyante, c'est une alerte ignorée. Avoir la main là-dessus est vital pour maintenir un outil utilisable et pertinent pour les équipes.

Pour creuser le sujet, le repo github: https://github.com/bridgecrewio/checkov

Pour une stratégie plus complète sur la supply chain, Checkov doit être complété par d'autres outils de SCA & SBOM: Trivy, Syft, Dependency-Track, etc. pour la visibilité sur les dépendances

Il y a d'autres outils de devSecOps, et Stephane ROBERT les courent dans sa doc:
* SAST: https://blog.stephane-robert.info/docs/securiser/analyser-code/sast/
* DAST: https://blog.stephane-robert.info/docs/securiser/analyser-code/dast/
* SCA: https://blog.stephane-robert.info/docs/securiser/analyser-code/sca/
* Sécurité des containers : https://blog.stephane-robert.info/docs/securiser/conteneurs/

Avez-vous déjà testé Checkov dans votre pipeline CI/CD? Partagez votre expérience! Quels sont vos critères pour choisir un outil d'analyse statique comme Checkov ?

#CyberSecurite #DevSecOps #CloudSecurity #Kubernetes #DockerSecurity #SCA #IaC #StaticCodeAnalysis #CloudNativeSecurity

1 million installs of the bitexpert/phpstan-magento Composer package. This is C.R.A.Z.Y!

https://github.com/bitExpert/phpstan-magento

#PHPStan #Magento #StaticCodeAnalysis

Static code analysis, such as that provided by spotbugs-maven-plugin, can help ease the code review burden and get early feedback on performance, style and possible functionality issues. #java #mavenBuild #maven #staticCodeAnalysis

http://codingchica.com/2023/10/16/adding-spotbugs-a-static-code-analysis-plugin/

In "NVMe: New Vulnerabilities Made Easy," we explore the potential impact of vulnerabilities in the widely-used NVMe protocol. From public clouds to on-premises machines, NVMe is everywhere, which means discovering vulnerabilities could have a significant impact.

In the post, we dive deep into a newly discovered vulnerability in the NVMe protocol and explore how it can be exploited. We also discuss the importance of static code analysis tools and how they can help identify vulnerabilities in large code bases.

Check out the post and let us know your thoughts in the comments!

https://www.cyberark.com/resources/threat-research-blog/nvme-new-vulnerabilities-made-easy

#NVMe #cybersecurity #vulnerabilityresearch #staticcodeanalysis 🕵️‍♂️🔍💻🛡️🚨

How do you know your application has a good architecture?

Use static code analysis tools to visualize the structure of your application and how different modules interact with each other.

We deep dive into two specific tools: https://www.upgradejs.com/blog/application-architecture-visualization.html?utm_source=Mastodon&utm_medium=Organic&utm_campaign=Blogpromo&utm_term=apparchitecture+&utm_content=Graphic&utm_id=

#webapplication #staticcodeanalysis #techdebt

RT @[email protected]

Dropwizard by @[email protected], one of the best open-source RESTful web services framework, analysed with CodeMR. 🙂

Model and auto-generated graphs are available on GitHub https://bit.ly/2UW2TCV

#Dropwizard #Java #StaticCodeAnalysis #metrics #softwarearchitecture

🐦🔗: https://twitter.com/_CodeMR/status/1095318322768474118