Un référentiel ne vaut que si on peut prouver qu'on le respecte. Cette page recense les 57 outils (open source en priorité), répartis en 20 catégories, qui servent de moteurs de preuve pour les exigences SOCLE. Principe : les outils consomment la norme, jamais l'inverse.
Un outil prouve, il ne couvre pas tout
Aucun outil ne « rend conforme ». Chacun apporte une preuve sur un périmètre précis. SOCLE explicite donc, pour chaque outil, ce qu'il prouve et ce qu'il ne prouve pas : c'est ce qui évite le faux sentiment de sécurité.
Par catégorie
Chaque catégorie d'outillage couvre un ou plusieurs domaines du référentiel. Les outils marqués maison sont développés ou maintenus en interne.
Posture de l'orchestrateur CI/CDORC
Isolation des runnersORC
runners ephemeresHarden-Runner (StepSecurity)actions-runner-controllergVisorKata Containers fleeting-plugin
Coffre & secretsORCSEC
Plan KubernetesORCCLD
Scan de secretsSRCSEC
SCA / dependancesAPPINT
Signature & provenanceREL
Gestion vuln. & VEXVLN
Maturite & cultureCLT
OWASP SAMMOWASP DSOMMtableaux de bord de posture
IA / SDLCIA
serving self-hoste (vLLM/SGLang)scan secrets sur sortie d'agentprovenance du code generegouvernance modeles/donnees
Catalogue des moteurs de preuve
Les 57 outils cités, avec leur apport réel. À lire en gardant en tête : « prouve » = ce que l'outil démontre ; « ne prouve pas » = le périmètre qu'il laisse à découvert.
Prouverunners éphémères/isolés orchestrés
Ne prouve passécurité du code construit
Prouvecrashs/vulnérabilités par fuzzing de parseurs/binaires
Ne prouve pascouverture exhaustive ni absence de bug
Prouveapplication de politiques d'organisation GitHub
Ne prouve passécurité du code ou des artefacts
Prouvedéploiement déclaratif réconcilié, détection de drift
Ne prouve passignature/provenance des artefacts
Prouvebuild hermétique et reproductible (sandbox, deps pré-résolues)
Ne prouve passignature ni provenance signée
Prouvegénération de SBOM CycloneDX multi-écosystème
Ne prouve pasvulnérabilités
Prouvemauvaises configurations IaC (Terraform, K8s)
Ne prouve pasposture cloud réelle (live)
Prouvepolitiques réseau appliquées (egress/ingress, segmentation)
Ne prouve passouveraineté de l'hébergement ni absence totale d'exfiltration
CIS-CATposture os5 exigences
Prouveconformité CIS Benchmarks (config OS/poste)
Ne prouve passécurité applicative ni runtime
Prouvevulnérabilités de code par analyse statique sémantique
Ne prouve paslogique métier non modélisée ni runtime
Prouveconformité de configs/IaC à des politiques Rego
Ne prouve pasexécution réelle en admission
Prouvesignature/vérification d'artefacts (Sigstore)
Ne prouve pasinnocuité ni provenance exacte de l'artefact
Prouveinventaire et suivi des vulnérabilités via SBOM/VEX
Ne prouve pascorrection effective ni détection runtime
Prouvedétection comportementale runtime (syscalls, réseau)
Ne prouve pasinventaire des vulnérabilités ni preuve forensique probatoire
Prouvedéploiement GitOps réconcilié, détection de drift
Ne prouve passignature/provenance des artefacts
Prouverefus à l'admission K8s selon politiques OPA
Ne prouve passécurité du contenu de l'image
git verify-commitsignature3 exigences
Prouvevérification de signature de commits/tags
Ne prouve pasprotection de branche ni intégrité du contenu
Prouvedétection de secrets en clair dans le code/historique
Ne prouve passecrets dans artefacts binaires ni en runtime
Prouvesignature keyless des commits (Sigstore)
Ne prouve pasprotection de branche
ProuveCVE des paquets d'une image/SBOM
Ne prouve pasmalware, secrets ni signature
Prouveisolation renforcée (sandbox noyau) des charges
Ne prouve pasintégrité du contenu exécuté
Prouveregistre contrôlé (RBAC, scan, vérif signature à la conso)
Ne prouve pasintégrité du build amont
Prouvefiltrage egress et détection d'anomalies sur le runner
Ne prouve passécurité du code construit
Prouveattestation de la chaîne (layouts/steps)
Ne prouve pasinnocuité du résultat
Prouveisolation forte par micro-VM des charges
Ne prouve pasintégrité du contenu exécuté
Prouveconformité CIS d'un cluster K8s
Ne prouve pasadmission de signature ni runtime
Prouveposture/configuration K8s (CIS, NSA)
Ne prouve pasadmission de signature ni runtime
Prouveadmission K8s (refus images non signées/non conformes)
Ne prouve passécurité du code applicatif
Prouveposture du SCM/org (protections de branche, accès)
Ne prouve passécurité du code ou des artefacts
Prouvefuzzing in-process de fonctions/parseurs
Ne prouve pascouverture exhaustive
Prouvestockage/rotation des secrets en coffre, accès tracé
Ne prouve pasabsence de secrets en clair ailleurs
Prouveconformité de configuration (SCAP/CIS/ANSSI)
Ne prouve passécurité applicative ni runtime
Prouvescore de pratiques de sécurité d'un dépôt OSS
Ne prouve pasabsence de vulnérabilité ni sécurité runtime
OpenSSF Trusted Publisherspublication3 exigences
Prouvepublication via identité OIDC courte (sans jeton long)
Ne prouve pasintégrité du contenu publié
Prouvestatut d'exploitabilité (VEX) d'une vulnérabilité
Ne prouve pascorrection ni détection
Prouvetélémétrie et état du poste/hôte (requêtes SQL)
Ne prouve paspréservation probatoire forensique complète
Prouvefuzzing continu de projets OSS
Ne prouve pascode propriétaire non intégré
Prouvedépendances vulnérables (base OSV)
Ne prouve pasmalware/typosquat comportemental ni signature
Prouvevulnérabilités d'une appli exposée (test dynamique)
Ne prouve pascode non exposé ni logique métier
Prouveconformité du paramétrage projet/runner GitHub et GitLab et durcissement du pipeline-as-code via politiques exécutables
Ne prouve pasl'isolation runtime du runner ni l'intégrité de l'image d'exécuteur
Prouvedétection de schémas dangereux dans les workflows CI
Ne prouve passécurité du code applicatif
Prouveexécution de hooks (lint, secrets) avant commit
Ne prouve pasgarantie côté serveur (contournable en local)
Prouveposture cloud live (IAM, exposition, chiffrement, logs)
Ne prouve passécurité du code ou des artefacts
Pépinposture cloud70 exigences
Prouveaudit de posture cloud souverain (CSPM, clouds FR)
Ne prouve passécurité applicative
Prouvejournal de transparence des signatures/attestations
Ne prouve pasvalidité sémantique de l'artefact
Prouvemise à jour automatisée des dépendances
Ne prouve pasabsence de dépendance malveillante
Prouveposture cloud multi-fournisseur (audit config)
Ne prouve passécurité du code ni runtime
Prouvevulnérabilités/anti-patterns par règles statiques
Ne prouve paslogique métier ni runtime
Prouvegénération de provenance SLSA au build
Ne prouve pasherméticité ni innocuité du code
Prouvevérification de provenance SLSA (builder/source attendus)
Ne prouve pasinnocuité du contenu
Prouvegénération de SBOM (composants/dépendances)
Ne prouve pasvulnérabilités ni exactitude des licences
Prouveobservabilité/détection runtime eBPF
Ne prouve pasgestion des vulnérabilités
ProuveCVE, secrets et mauvaises configs d'images/IaC
Ne prouve passignature/provenance ni malware avancé
Prouvedétection et validation de secrets (dépôts, historique)
Ne prouve passecrets en runtime
Prouveattestations in-toto de la chaîne (steps)
Ne prouve pasinnocuité du résultat
Prouveaudit statique des workflows GitHub Actions
Ne prouve passécurité du code applicatif