Un référentiel ne vaut que si on peut prouver qu'on le respecte. Cette page recense les 57 outils (open source en priorité), répartis en 20 catégories , qui servent de moteurs de preuve pour les exigences SOCLE. Principe : les outils consomment la norme , jamais l'inverse.
Un outil prouve, il ne couvre pas tout
Aucun outil ne « rend conforme ». Chacun apporte une preuve sur un périmètre précis. SOCLE explicite donc, pour chaque outil, ce qu'il prouve et ce qu'il ne prouve pas : c'est ce qui évite le faux sentiment de sécurité.
Par catégorie Chaque catégorie d'outillage couvre un ou plusieurs domaines du référentiel. Les outils marqués maison sont développés ou maintenus en interne.
Posture de l'orchestrateur CI/CD ORC
Posture SCM (depot/org) ORC SRC
Scan conteneurs/images PKG
Signature & provenance REL
Policy-as-code & admission DPL ORC
Maturite & culture CLT
OWASP SAMM OWASP DSOMM tableaux de bord de posture
IA / SDLC IA
serving self-hoste (vLLM/SGLang) scan secrets sur sortie d'agent provenance du code genere gouvernance modeles/donnees
Catalogue des moteurs de preuve Les 57 outils cités, avec leur apport réel. À lire en gardant en tête : « prouve » = ce que l'outil démontre ; « ne prouve pas » = le périmètre qu'il laisse à découvert.
Prouverunners éphémères/isolés orchestrés Ne prouve passécurité du code construit Prouvecrashs/vulnérabilités par fuzzing de parseurs/binaires Ne prouve pascouverture exhaustive ni absence de bug Prouveapplication de politiques d'organisation GitHub Ne prouve passécurité du code ou des artefacts Prouvedéploiement déclaratif réconcilié, détection de drift Ne prouve passignature/provenance des artefacts Prouvebuild hermétique et reproductible (sandbox, deps pré-résolues) Ne prouve passignature ni provenance signée Prouvegénération de SBOM CycloneDX multi-écosystème Ne prouve pasvulnérabilités Prouvemauvaises configurations IaC (Terraform, K8s) Ne prouve pasposture cloud réelle (live) Prouvepolitiques réseau appliquées (egress/ingress, segmentation) Ne prouve passouveraineté de l'hébergement ni absence totale d'exfiltration CIS-CAT posture os 5 exigences
Prouveconformité CIS Benchmarks (config OS/poste) Ne prouve passécurité applicative ni runtime Prouvevulnérabilités de code par analyse statique sémantique Ne prouve paslogique métier non modélisée ni runtime Prouveconformité de configs/IaC à des politiques Rego Ne prouve pasexécution réelle en admission Prouvesignature/vérification d'artefacts (Sigstore) Ne prouve pasinnocuité ni provenance exacte de l'artefact Prouveinventaire et suivi des vulnérabilités via SBOM/VEX Ne prouve pascorrection effective ni détection runtime Prouvedétection comportementale runtime (syscalls, réseau) Ne prouve pasinventaire des vulnérabilités ni preuve forensique probatoire Prouvedéploiement GitOps réconcilié, détection de drift Ne prouve passignature/provenance des artefacts Prouverefus à l'admission K8s selon politiques OPA Ne prouve passécurité du contenu de l'image git verify-commit signature 3 exigences
Prouvevérification de signature de commits/tags Ne prouve pasprotection de branche ni intégrité du contenu Prouvedétection de secrets en clair dans le code/historique Ne prouve passecrets dans artefacts binaires ni en runtime Prouvesignature keyless des commits (Sigstore) Ne prouve pasprotection de branche Grype scan image 7 exigences ProuveCVE des paquets d'une image/SBOM Ne prouve pasmalware, secrets ni signature Prouveisolation renforcée (sandbox noyau) des charges Ne prouve pasintégrité du contenu exécuté Prouveregistre contrôlé (RBAC, scan, vérif signature à la conso) Ne prouve pasintégrité du build amont Prouvefiltrage egress et détection d'anomalies sur le runner Ne prouve passécurité du code construit Prouveattestation de la chaîne (layouts/steps) Ne prouve pasinnocuité du résultat Prouveisolation forte par micro-VM des charges Ne prouve pasintégrité du contenu exécuté Prouvemauvaises configurations IaC multi-format Ne prouve pasposture cloud live Prouveconformité CIS d'un cluster K8s Ne prouve pasadmission de signature ni runtime Prouveposture/configuration K8s (CIS, NSA) Ne prouve pasadmission de signature ni runtime Kyverno policy admission 14 exigences Prouveadmission K8s (refus images non signées/non conformes) Ne prouve passécurité du code applicatif Prouveposture du SCM/org (protections de branche, accès) Ne prouve passécurité du code ou des artefacts Prouvefuzzing in-process de fonctions/parseurs Ne prouve pascouverture exhaustive Prouvestockage/rotation des secrets en coffre, accès tracé Ne prouve pasabsence de secrets en clair ailleurs Prouveconformité de configuration (SCAP/CIS/ANSSI) Ne prouve passécurité applicative ni runtime Prouvescore de pratiques de sécurité d'un dépôt OSS Ne prouve pasabsence de vulnérabilité ni sécurité runtime OpenSSF Trusted Publishers publication 3 exigences
Prouvepublication via identité OIDC courte (sans jeton long) Ne prouve pasintégrité du contenu publié Prouvestatut d'exploitabilité (VEX) d'une vulnérabilité Ne prouve pascorrection ni détection Prouvetélémétrie et état du poste/hôte (requêtes SQL) Ne prouve paspréservation probatoire forensique complète Prouvefuzzing continu de projets OSS Ne prouve pascode propriétaire non intégré Prouvedépendances vulnérables (base OSV) Ne prouve pasmalware/typosquat comportemental ni signature Prouvevulnérabilités d'une appli exposée (test dynamique) Ne prouve pascode non exposé ni logique métier Plumber posture orchestrateur CI/CD (policy-as-code) 5 exigences Prouveconformité du paramétrage projet/runner GitHub et GitLab et durcissement du pipeline-as-code via politiques exécutables Ne prouve pasl'isolation runtime du runner ni l'intégrité de l'image d'exécuteur poutine workflow analysis 20 exigences Prouvedétection de schémas dangereux dans les workflows CI Ne prouve passécurité du code applicatif Prouveexécution de hooks (lint, secrets) avant commit Ne prouve pasgarantie côté serveur (contournable en local) Prouveposture cloud live (IAM, exposition, chiffrement, logs) Ne prouve passécurité du code ou des artefacts Pépin posture cloud 70 exigences
Prouveaudit de posture cloud souverain (CSPM, clouds FR) Ne prouve passécurité applicative Rekor transparence 3 exigences Prouvejournal de transparence des signatures/attestations Ne prouve pasvalidité sémantique de l'artefact Prouvemise à jour automatisée des dépendances Ne prouve pasabsence de dépendance malveillante Prouveposture cloud multi-fournisseur (audit config) Ne prouve passécurité du code ni runtime Prouvevulnérabilités/anti-patterns par règles statiques Ne prouve paslogique métier ni runtime Prouvegénération de provenance SLSA au build Ne prouve pasherméticité ni innocuité du code Prouvevérification de provenance SLSA (builder/source attendus) Ne prouve pasinnocuité du contenu Prouvegénération de SBOM (composants/dépendances) Ne prouve pasvulnérabilités ni exactitude des licences Prouveobservabilité/détection runtime eBPF Ne prouve pasgestion des vulnérabilités Trivy scan image 35 exigences ProuveCVE, secrets et mauvaises configs d'images/IaC Ne prouve passignature/provenance ni malware avancé Prouvedétection et validation de secrets (dépôts, historique) Ne prouve passecrets en runtime Prouveattestations in-toto de la chaîne (steps) Ne prouve pasinnocuité du résultat zizmor workflow analysis 15 exigences Prouveaudit statique des workflows GitHub Actions Ne prouve passécurité du code applicatif Prochaines étapes
SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire .
Référentiel SOCLE © 2026 Stéphane Robert , publié
sous licence Creative Commons CC BY 4.0 .
Vous pouvez le réutiliser, adapter et même l'exploiter commercialement ,
à condition de citer l'auteur et de conserver un lien vers la source.
La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».