Security By Design

David Aparicio (@dadideo)

DevOps Cloud & BigData

Human Talks février (11 Février 2020)

Sécurité dès la conception

95/ SdD-“Privacy By Design”

97/ Loi allemande

10-12/ Congrès

DevSecOps

DevSecOps dodcio.defense.gov

Techniques

Pas copier-coller StackOverFlow

98% snippets sur la sécurité/crypto sont insecures

Fisher et al., 2017; Nadi et al., 2016; Das et al, 2014 Prevent cryptographic pitfalls by design

Attention avec Docker

Docker vulnerabilities The state of open source security – 2019

Une part de bonnes pratiques

  • Principe de moindre privilège !root
  • Diminuer la surface d’attaque (scratch, distroless)
  • Pas de données sensibles dans les images
  • Mettre à jour infra/docker images (CI/CD|GitOps)
  • Ne pas afficher de stacktrace (pas debug)
  • Ni de version/nom de framework
  • Vérifier les entrées/sorties (injection/XSS)
  • PaaS (BUILD/RUN) 🇪🇺 OVHCloud/CleverCloud

Outils

  • Falco (Monitoring/Agent)

Why?

OWASP OWASP Top 10

Gendarmerie Nationale

L’entrée en vigueur du RGPD modifie la posture des acteurs (des traitements) qui doivent tenir compte des impératifs de sécurité dès la conception d’un produit ainsi que son cycle de vie. Le label « by design » devient un label de qualité qui constituera un atout commercial.

2022

  • 90% des développements logiciels se déclaront DevSecOps (+40% 2019)
  • 25% des développements IT selon DevOps (+10% 2019)

Gartner/Techwire

Et pour éviter cela

Windows 3.1

Pour aller plus loin

David Aparicio

Double diplôme INSA de Lyon / UNICAMP (Brésil)

15/ Facebook Open Academy / MIT AppInventor

17/ Dev(Sec)Ops @ AMADEUS (Nice, 2 ans)

19/ DataOps @ OVHCloud (Lyon)

Questions ?

chien

ReX au Meetup GDG ce Jeudi 19h / @dadideo