Aller au contenu
DevSecOps Logo DevSecOps
Docs
Blog
Blog

Construction et Gestion des artefacts

Mise à jour :

Dans un environnement DevSecOps, la construction et la gestion des artefacts reposent sur des choix techniques et des règles incontournables qui garantissent leur sécurité, leur traçabilité et leur qualité. La moindre dérogation à ces principes peut exposer les artefacts à des vulnérabilités, des fuites de données sensibles ou même du code malveillant, compromettant ainsi non seulement le cycle de développement, mais aussi la pérennité même de l’entreprise.

Mais, qu’est-ce qu’un artefact ?

Un artefact peut être un binaire, une image de conteneur, une bibliothèque ou tout autre fichier généré et utilisé dans les différentes phases du processus de construction d’une application ou d’une infrastructure.**

Comment produire des artefacts de qualité ?

Dans une approche DevSecOps, chaque étape de la boucle de rétroaction, de la planification au déploiement, doivent reposer sur des choix forts et des règles strictes qui garantissent la sécurité et la qualité des artefacts. Ceux-ci doivent être créés, stockés, analysés et validés avec rigueur.

Ce guide détaillera chaque étape depuis la planification en passant par la construction et pour finir par la gestion des artefacts, en mettant l’accent sur les bonnes pratiques et les outils qui facilitent leur intégration dans un environnement sécurisé et automatisé.

1. Planification (collecte des exigences)

Le cycle de vie des artefacts commence bien avant leur production. Une bonne planification permet d’anticiper les contraintes de sécurité, de conformité et de qualité afin d’éviter des erreurs coûteuses plus tard.

Même si vous ne cherchez qu’à construire un MVP (Minimum Viable Product), il est essentiel de définir les exigences de sécurité et de qualité dès le départ ! De mon expérience, il est plus facile de les intégrer dès le début que de les ajouter en cours de route.

Identification des contraintes de sécurité et de conformité

Avant même d’écrire une ligne de code, il faut répondre à une question essentielle : quelles sont les exigences de sécurité et de conformité applicables ? Selon le secteur d’activité, différentes normes et réglementations peuvent s’appliquer :

  • ISO 27001 : Gestion de la sécurité de l’information
  • RGPD : Protection des données personnelles en Europe
  • PCI-DSS : Sécurisation des transactions bancaires
  • NIST, CIS Benchmarks : Bonnes pratiques en cybersécurité

Ne pas prendre en compte ces contraintes dès le départ expose à des problèmes de conformité et à des sanctions pouvant aller jusqu’à l’interdiction de mise en production. Intégrer ces règles dès la conception garantit que les artefacts générés seront conformes et sécurisés dès le départ.

Choix des technologies adaptées

Une fois les exigences définies, il faut choisir les technologies qui permettront de les respecter. Chaque décision technique a un impact direct sur la sécurité des artefacts et sur leur gestion :

  • Langages et frameworks : Certains langages comme Rust ou Go offrent plus de sécurité mémoire que d’autres comme C.
  • Conteneurs et orchestration : L’utilisation de conteneurs (Docker, Podman) et d’orchestrateurs comme Kubernetes impose de réfléchir à la gestion des images, des dépendances et aux politiques de contrôle d’accès.
  • Cloud et hébergement : Selon l’infrastructure (Cloud, On-Premise, Hybride), il faudra construire des services par forcément disponible comme de chiffrement, la gestion des secrets et la gestion des identités et des autorisations.

Chaque outil doit être choisi en fonction de sa maturité, de son support et de son alignement avec les exigences de sécurité définies plus tôt. Combien de fois, dans ma carrière, ai-je vu des projets échouer à cause d’un choix technique inadapté ou d’une technologie obsolète !

Définition des politiques de sécurité

Avant de commencer le développement, une politique de sécurité des artefacts doit être mise en place :

  • Règles de gestion des dépendances : Interdiction d’utiliser des bibliothèques non vérifiées ou obsolètes.
  • Environnements de développement sécurisés : Interdiction d’utiliser des secrets en dur dans le code, configuration des SCM (Git, GitLab, GitHub) avec des règles strictes de merge request et d’approbation.
  • Scans de sécurité en amont : Mise en place d’outils pour analyser les vulnérabilités dès le début du projet.

En validant ces éléments dès la phase de planification, on évite d’introduire des failles dès la conception. Cela permet de produire des artefacts sécurisés et conformes, réduisant ainsi les risques de devoir tout revoir en fin de cycle.

Cette approche garantit que chaque artefact généré répond aux exigences de l’entreprise et des régulateurs, facilitant ainsi son intégration dans un pipeline DevOps fiable.

2. Développement et gestion du code source

Une fois la planification validée, la phase de développement commence. C’est ici que les premiers artefacts voient le jour, sous forme de fichiers sources, de scripts ou de configurations. Cette étape est importante, car une mauvaise gestion du code source peut introduire des failles de sécurité difficiles à corriger par la suite.

Gestion du code source (SCM)

L’utilisation d’un gestionnaire de code source est une norme incontournable. Git est aujourd’hui le standard, avec des plateformes comme GitHub, GitLab ou Bitbucket.

Quelques bonnes pratiques à appliquer :

  • Organisation stricte des branches :
    • main ou master : branche stable, toujours en état de déploiement.
    • develop : branche intermédiaire pour les nouvelles fonctionnalités.
    • feature/* et hotfix/* : branches pour le développement de nouvelles fonctionnalités ou correctifs.
  • Merge requests (MR) avec validation :
    • Code review obligatoire avec approbation avant toute fusion.
    • Intégration de scans automatiques sur les MR pour détecter des erreurs ou vulnérabilités.
  • Historique de modifications propre :
    • Rédaction de messages de commits clairs et informatifs.
    • Utilisation de rebase pour éviter un historique pollué par des commits inutiles.

Ces règles permettent de garantir une traçabilité totale et d’assurer la qualité du code avant même la génération des artefacts.

Gestion des dépendances

Le code source ne vit pas seul : il dépend souvent de bibliothèques tierces qui peuvent être une source majeure de vulnérabilités. Une gestion stricte des dépendances est donc essentielle.

Outils d’analyse des vulnérabilités dans les dépendances :

  • Snyk : Analyse les dépendances et propose des correctifs de sécurité.
  • OWASP Dependency Check : Vérifie les dépendances contre une base de vulnérabilités connues.
  • Trivy : Scanner plusieurs types d’artefacts pour détecter des vulnérabilités.

Outils d’analyse permettant de déctecter des leaks de secrets :

  • Gitleaks : Analyse les dépôts Git à la recherche de secrets exposés.
  • TruffleHog : Détecte les secrets stockés dans les dépôts Git.

Points de vigilance :

  • Vérifier la licence des bibliothèques utilisées pour éviter toute violation.
  • Bannir l’utilisation de packages non vérifiés ou maintenus par des contributeurs inconnus.
  • Mettre en place des mises à jour régulières des dépendances pour éviter d’accumuler des failles.

Un code propre et bien sécurisé en amont garantit des artefacts fiables et conformes.

Utilisation des outils de qualité de code

La qualité du code est un facteur clé pour garantir la sécurité et la stabilité des futurs artefacts. Des outils d’analyse statique et dynamique permettent de détecter des erreurs et des vulnérabilités avant même l’exécution du code.

Outils d’analyse de code :

  • SonarQube : Analyse statique du code pour détecter des erreurs et des vulnérabilités.
  • CodeQL : Analyse le code source pour détecter des failles de sécurité.
  • Utilisation des outils de linting (ex. megalinter) pour garantir une cohérence et une qualité du code.

Les rapports d’analyse générés par ces outils permettent d’alimenter la boucle de rétroaction et d’améliorer la qualité des artefacts produits dont une future itération.

Configuration des pipelines d’intégration continue

Chaque modification du code doit déclencher un processus automatisé pour assurer la cohérence et la qualité des artefacts générés. Son développement doit être aussi défini en parallèle de celui du code de l’applicatif.

Il est essentiel de définir un pipeline CI/CD qui intègre les différentes étapes de test, de build, d’analyse de sécurité et de déploiement des artefacts.

stages:
  - test
  - build
  - security
  - deploy


variables:
  IMAGE_NAME: "ma-registry/mon-projet-python"


lint:
  stage: test
  image: python:3.12
  script:
    - pylint src/


test:
  stage: test
  image: python:3.12
  script:
    - pip install -r requirements.txt
    - pytest tests/


gitleaks:
  stage: test
  image: ma-regitry/gitleaks
  script:
    - gitleaks detect --source="$CI_PROJECT_DIR" --verbose


analysis:
  stage: test
  image: sonarsource/sonar-scanner-cli
  script:
    - sonar-scanner -Dsonar.projectKey=my_project -Dsonar.sources=. -Dsonar.host.url=https://sonarqube.mycompany.com -Dsonar.login=$SONAR_TOKEN


build:
  stage: build
  script:
    - IMAGE_VERSION=$(git describe --tags)
    - docker build -t $IMAGE_NAME:$IMAGE_VERSION .
    - docker save -o docker-image.tar $IMAGE_NAME:$IMAGE_VERSION
  artifacts:
    paths:
      - docker-image.tar


sbom:
  stage: build
  image: aquasec/trivy
  script:
    - trivy image --format sbom $IMAGE_NAME:$IMAGE_VERSION > sbom.json
  artifacts:
    paths:
      - sbom.json


security:
  stage: security
  image: aquasec/trivy
  script:
    - trivy image --exit-code 1 --severity HIGH,CRITICAL $IMAGE_NAME:$IMAGE_TAG


sign:
  stage: security
  script:
    - cosign sign --key cosign.key --tlog-upload=false $IMAGE_NAME:$IMAGE_VERSION


push:
  stage: deploy
  script:
    - docker load -i docker-image.tar
    - docker login -u $CI_REGISTRY_USER -p $CI_REGISTRY_PASSWORD $CI_REGISTRY
    - docker push $IMAGE_NAME:$IMAGE_VERSION

Ce pipeline basique, et pas forcément fonctionnel, illustre les différentes étapes nécessaires pour garantir la qualité et la sécurité des artefacts produits.

3. Construction des artefacts

Après l’écriture du code, il faut transformer ce dernier en artefacts : binaires, modules, images de conteneurs ou packages. Cette phase repose sur un processus automatisé et rigoureux pour garantir des artefacts fiables, sécurisés et reproductibles.

Génération des artefacts

Les artefacts produits varient selon le type d’application et d’environnement cible :

  • Modules et librairies : fichiers .jar, .so, .dll pour être réutilisés.
  • Binaires exécutables : applications compilées (JAR, EXE, ELF, etc.).
  • Images conteneurs : images Docker ou Podman prêtes à être déployées.
  • Packages logiciels : fichiers .deb, .rpm, .msi pour des installations sur des systèmes d’exploitation.
  • Fichiers de configuration : manifests Kubernetes, fichiers Helm, Terraform.

Sécurisation des artefacts générés

Afin d’éviter l’introduction de vulnérabilités dans les artefacts produits, plusieurs mesures de sécurité doivent être appliquées :

  • Scan de sécurité post-build : Analyse dynamique (DAST) pour détecter des failles exploitables.
  • Suppression des artefacts non sécurisés : Si un scan révèle une vulnérabilité critique, l’artefact ne doit pas être stocké ni utilisé.
  • Signature numérique et intégrité : Utilisation d’outils comme Cosign ou Notary pour signer les artefacts.

Exemple de signature d’une image de conteneur avec Cosign :

Terminal window
cosign sign --key cosign.key mon-registry/mon-image:v0.1.2

4. Versionning et Stockage des artefacts

Une fois les artefacts générés et validés, ils doivent être stockés de manière sécurisée pour garantir leur traçabilité, leur disponibilité et leur intégrité. Cette étape est importante dans le pipeline car un stockage mal géré peut entraîner des déploiements non contrôlés ou l’intégration d’artefacts compromis de la part de tiers malveillants.

Les artefacts peuvent être stockés dans plusieurs types de repositories en fonction de leur nature :

  • Dépôts de binaires et de modules :

    • JFrog Artifactory, Nexus, GitHub Packages pour stocker des artefacts comme des .jar, .whl, .tar.gz,rpm, etc.

  • Registres d’images conteneurs :

    • Docker Hub, GitLab Container Registry, AWS ECR, Harbor pour stocker des images Docker ou Podman.

Le choix du repository dépend des besoins de l’entreprise, du volume d’artefacts et des exigences de sécurité.

Sécurisation de l’accès aux artefacts

Un repository mal sécurisé peut devenir une faille critique. Voici les mesures essentielles à appliquer :

  • Restreindre l’accès aux artefacts via des rôles spécifiques :
    • Lecture seule pour les consommateurs (ex. serveurs de déploiement).
    • Écriture et suppression pour les équipes de développement.
    • Administration pour gérer les droits et politiques.
  • Éviter les identifiants en dur dans les fichiers de configuration.
  • Utiliser un coffre-fort comme HashiCorp Vault ou Passbolt pour stocker les jetons d’accès.
  • Mettre en place une rotation régulière des clés pour limiter l’impact d’une compromission.
  • Chiffrer de bout en bout les communications entre les outils de build et les serveurs de stockage.

Rétention des artefacts

Il est essentiel de conserver plusieurs versions d’un artefact tout en évitant une accumulation excessive de fichiers inutilisés.

  • Associer un tag unique à chaque version d’artefact :
    • v1.0.0, v1.1.0 pour des binaires.
    • myapp:1.0, myapp:1.1 pour des images Docker.
  • Supprimer automatiquement les artefacts obsolètes après une période définie.
  • Conserver uniquement les X dernières versions (ex. ne garder que les 10 dernières images valides).

Scans automatiques et politique de validation

Un repository sécurisé ne se limite pas à du stockage : il doit intégrer des scans de sécurité continus. Oui continue, car les vulnérabilités peuvent apparaître des jours voir des semaines après le stockage de l’artefact. Pour cela, il est recommandé de :

  • Intégrer un scan régulier des artefacts stockés avec Trivy ou Grype.
  • Bloquer immédiatement l’utilisation d’artefacts contenant des failles critiques et envoyer une alerte aux équipes concernées.

Déploiement et utilisation des artefacts

Une fois les artefacts testés et validés, ils sont prêts à être déployés. Cette phase repose sur des processus automatisés et sécurisés pour garantir une mise en production fiable, reproductible et contrôlée.

L’objectif est d’intégrer les artefacts dans l’environnement cible en minimisant les risques et en assurant une traçabilité complète.

5. Déploiement et utilisation des artefacts

Une fois les artefacts testés et validés, ils sont prêts à être déployés. Cette phase repose sur des processus automatisés et sécurisés pour garantir une mise en production fiable, reproductible et contrôlée. On pourra utiliser un pipeline de déploiement continu pour automatiser cette étape, qui pourra être déclenché par un hook depuis celui d’intégration continue.

Parmi Les outils de déploiement continue les plus courants, on trouve :

Exemple d’un job GitLab CI/CD déployant un artefact de type image de conteneur sur Kubernetes :

deploy:
  stage: deploy
  script:
    - kubectl apply -f k8s/deployment.yaml

Validation des artefacts

Avant de déployer un artefact sur tout environnement y compris celui de production, il est essentiel vérifier qu’il proviens bien du repository de confiance et qu’il n’a pas été altéré. Pour cela, on peut utiliser des outils de vérification d’intégrité comme Cosign ou Notary.

Stratégies de déploiement sécurisé

Le déploiement ne doit pas impacter la production. Plusieurs stratégies permettent d’introduire de nouvelles versions de manière progressive et sécurisée :

  • Rolling update : remplacement progressif des anciennes instances.
  • Blue/Green deployment : bascule entre deux environnements (ancien/nouveau).
  • Canary release : mise en production sur un faible pourcentage d’utilisateurs avant généralisation.

Exemple d’un déploiement rolling update en Kubernetes :

strategy:
  type: RollingUpdate
  rollingUpdate:
    maxUnavailable: 1
    maxSurge: 1

Gestion des configurations et secrets

Les artefacts ne doivent jamais contenir de données sensibles ou de paramètres spécifiques. Il est impératif de séparer code et configuration.

  • Utilisation de variables d’environnement plutôt que de fichiers en dur.
  • Fichiers de configuration montés dynamiquement (ConfigMaps, Helm values).
  • Gestion des secrets avec des outils comme HashiCorp Vault.

Exemple d’une variable d’environnement injectée dans un conteneur Docker :

env:
  - name: DATABASE_URL
    valueFrom:
      secretKeyRef:
        name: database-secret
        key: url

Conclusion

La construction et la gestion des artefacts est l’un des processus les plus complexes dans un pipeline DevSecOps. Il ne s’agit pas simplement de compiler du code et de le stocker quelque part : chaque artefact doit être sécurisé, testé, versionné, surveillé et validé avant d’être utilisé en production.

La moindre négligence peut avoir des conséquences désastreuses. Un artefact mal géré peut contenir :

  • Du code malveillant (volontaire ou introduit par une dépendance compromise).
  • Des vulnérabilités critiques non détectées avant le déploiement.
  • Des erreurs de configuration rendant une application instable ou dangereuse.

Ce processus demande une rigueur absolue à toutes les étapes :

  • Planifier en intégrant les contraintes de sécurité et de conformité.
  • Développer en maîtrisant les dépendances et en appliquant les bonnes pratiques de code.
  • Construire des artefacts propres et traçables grâce à des pipelines automatisés.
  • Stocker et protéger ces artefacts dans des repositories sécurisés.
  • Tester et valider chaque artefact avant toute mise en production.
  • Déployer intelligemment avec des stratégies sécurisées et des outils d’orchestration.
  • Surveiller et améliorer continuellement les artefacts déployés.

Aucune étape ne peut être prise à la légère. Un artefact non contrôlé, c’est une faille ouverte dans l’infrastructure. Un code non audité, c’est une porte d’entrée pour une attaque. Une gestion laxiste des artefacts, c’est s’exposer à des dérives qui coûtent cher en sécurité, en stabilité et en confiance utilisateur.

Adopter une approche DevSecOps rigoureuse, automatiser les bonnes pratiques et renforcer la traçabilité sont les clés pour éviter ces pièges. Gérer les artefacts ne se résume pas à une simple étape du pipeline : c’est une discipline en soi, essentielle pour garantir des logiciels sûrs, performants et maîtrisés de bout en bout.