Hier, je vous ai présenté comment utiliser cosign pour signer et vérifier
vos images Docker. Par contre, j'avais désactivé le stockage des preuves de
signature dans le serveur de transparence rekor publique. Aujourd'hui, je vous
propose de voir comment avoir un serveur Rekor self-hosted. Attention au
moment de l'écriture de ce billet cette fonctionnalité est au status
Experimental.
Dans le billet précédent, j'avais introduit la notion de sécurisation de la
chaine d'approvisionnement logiciel et surtout pourquoi il est important de la
mettre en place. Ce billet parle d'une première solution permettant de signer
des conteneurs OCI avec Cosign. L'objectif est d'intégrer ces outils dans
une CI Gitlab.
Les concepteurs de Wolfi OS, porté par la société Chainguard se sont fixé comme objectif de produire des images de conteneurs qui répondent aux exigences de sécurité. Par exemple les images officielles ne doivent contenir aucune vulnérabilité critique connue.
A l'image d'asdf, aqua est un nouvel outil
permettant d'installer de très nombreux outils. Pa exemple, vous travaillez pour
un client qui utilise Kubernetes 1.27 et Terraform 1.5.0. Ensuite, on vous
met sur un nouveau projet client qui lui utilise Kubernetes 1.25 et
Terraform 1.3.6. Si vous ne gérez pas vos versions correctement cela peut vite
tourner au drame avec des incompatibilités ou du code non pris en charge au
moment de la livraison de celui-ci.
Annoncé il y a quelques mois lors de l'AnsibleFest 2023 et il y a quelques jours lors du Red Hat Summit, Ansible LightSpeed est disponible via une Technical Preview.
Pour rappel, ce projet se nommait auparavant le projet «Wisdom», visant à doter la plate-forme Ansible d’une capacité de traitement intelligent du langage naturel, en faisant appel à IBM Watson Code Assistant.
Sponsorisé par Redhat, le projet open source Podman Desktop vient de passer récemment en version stable 1.0. Podman Desktop permet de créer et d'exécuter des conteneurs localement. Sur la version Linux, il est également possible de piloter des ressources dans des clusters Kubernetes distants.
Trivy fait partie de ma liste d'outils que j'utilise couramment sur poste de développement. Pour ceux qui ne connaissent pas Trivy, il s'agit d'un outil d'audit de sécurité tout-en-un pour les conteneurs. La dernière version apporte l'audit CIS des clusters kubernetes.
Pour déployer une application au sein d'un cluster Kubernetes, on peut le faire de manière classique avec des fichiers de configuration YAML ou un gestionnaire de packages comme Helm. Il existe un troisième moyen qui est de créer un opérateur Kubernetes. Voyons dans un premier temps ce qu'est un opérateur Kubernetes.
Et voilà après deux semaines de tests, j'ai fini par livrer mon package python permettant de générer des taches ansible assisté par ChatGPT. Je l'ai appelé ansible-aisnippet.
Dans le précédent billet, nous avons pu voir que chatGPT n'est pas si magique que cela. En effet, il ne suit pas forcément les bonnes pratiques et surtout ne propose pas toujours les solutions adaptées. La plus grosse difficulté est de trouver quelles informations lui fournir pour qu'il produise du contenu proche d'une solution acceptable.