Syllabus : DevSecOps et sécurité du pipeline
Développeurs, ingénieurs plateforme, étudiants avec pratique Git et CI basique.
Téléchargez ce syllabus en PDF
Nous préparons les exports PDF par demande : précisez le syllabus et votre contexte (école, durée, public) via le formulaire de contact.
Accéder au formulaire de contact →Objectifs pédagogiques
- Intégrer des contrôles de sécurité dans CI/CD sans bloquer les équipes.
- Utiliser SCA, SAST et revue de dépendances de façon pertinente.
- Durcir conteneurs et secrets pour des déploiements cloud typiques.
Séquences
Séance 1 · 3 h
Culture et responsabilités partagées
Shift-left vs shift-right, métriques, collaboration Dev/Ops/Sec.
Activité : Analyse d’un post-mortem fictif et pistes DevSecOps.
Séance 2 · 5 h
Pipeline CI : gates et qualité
Lint, tests, branches, review obligatoire, environnements éphémères.
Activité : Configurer une gate simple (tests + scan dépendances) sur repo de démo.
Séance 3 · 5 h
SCA et gestion des vulnérabilités
CVE, severité, politique de mise à jour, exceptions documentées.
Activité : Tri d’un rapport SCA bruité et plan d’action priorisé.
Séance 4 · 5 h
SAST et secrets dans le code
Faux positifs, règles custom minimales, détection de secrets, vault.
Activité : Lab : faire échouer puis corriger un build sur secret commité volontairement.
Séance 5 · 6 h
Conteneurs et supply chain
Images minimales, utilisateur non-root, SBOM aperçu, signing (concepts).
Activité : Durcissement Dockerfile comparatif avant/après.
Séance 6 · 4 h
Observabilité et réponse
Logs structurés, tracing, détection d’abus dans API, runbooks.
Activité : Ébauche de runbook pour fuite de token CI.
Évaluation
Projet pipeline sur repo fourni 50 %, rapport de menaces supply chain 30 %, QCM 20 %.
Prérequis
Git, YAML, Docker de base, une expérience de CI est un plus.
Outils et environnement
- GitHub Actions ou GitLab CI
- Trivy ou équivalent
- Docker
- Sonar ou Semgrep (intro)