Category: AppSec

Comment Socket aide à prévenir les attaques de la chaîne d’approvisionnement et l’intrusion de malwares dans les environnements de développement

Ori HLeave a comment
socket logo

Socket.dev offre une sécurité proactive pour les dépendances open source en analysant le code et le comportement des paquets pour bloquer les menaces que les scanners de vulnérabilités traditionnels ne détectent pas.

Comprendre les risques liés aux attaques de la chaîne d’approvisionnement

Les attaques de la chaîne d’approvisionnement ciblent vos dépendances de développement, en injectant des malwares via des paquets piratés ou des mises à jour malveillantes. Socket.dev analyse le code des paquets en temps réel, détectant plus de 70 signaux d’alarme (red flags) tels que le code offusqué, l’exfiltration de données et les appels d’API à privilèges (par exemple, l’accès au système de fichiers ou eval()).

Cela permet de bloquer les menaces avant qu’elles n’entrent dans votre environnement, y compris dans les versions mineures où les CVE (Common Vulnerabilities and Exposures) ne les repèrent pas.

Prévention des attaques de la chaîne d’approvisionnement

Socket surveille les changements de dépendances en temps réel, comme dans les fichiers package.json, et détecte les infiltrations telles que les paquets piratés ou compromis avant qu’ils n’atteignent votre environnement. Il signale les mises à jour suspectes, notamment l’ajout soudain d’API à privilèges (par ex. accès au système de fichiers, appels réseau, child_process, eval()) dans des versions mineures ou des correctifs. Cela prévient les attaques visant le processus de développement lui-même, où les modifications malveillantes contournent la détection basée sur les CVE.

Blocage des malwares

Socket recherche plus de 70 signaux d’alarme dans des catégories telles que les risques de la chaîne d’approvisionnement, les malwares, le code caché et les problèmes de qualité dans les écosystèmes JavaScript, Python et Go. Il bloque le code offusqué ou minifié, l’exécution dynamique de code à distance, l’exfiltration de données (par ex., l’envoi d’identifiants via HTTP) et la télémétrie vers des domaines suspects. À titre d’exemple, on peut citer le blocage de paquets comme “fiinquant” (exec offusqué) ou “codapt” (récupération distante de JS) alors même qu’ils étaient en ligne sur les registres.

socket litellm detection

Socket a détecté le dernier malware Pypi litellm (mars 2026) – vous pouvez voir ici comment il empêche le téléchargement d’une version infectée

Réponse à la détection de malwares

Dès la détection, Socket génère des alertes exploitables contenant des détails sur la menace (par ex., “Backdoor” ou “Infostealer”) et bloque le téléchargement du paquet via son proxy Firewall s’il est configuré – empêchant ainsi complètement l’installation.
En mode CLI (socket scan ou socket install), il s’arrête avec un code non nul, ce qui fait échouer l’étape du pipeline.

Les avantages de l’intégration avec la CI/CD

Socket.dev s’intègre aux principales plateformes de CI/CD grâce à son interface en ligne de commande (CLI) et à ses jetons d’API, permettant d’effectuer des analyses de sécurité dans les pipelines et de bloquer les fusions lorsqu’il est intégré aux outils de CI ou via des règles de protection des branches.

Voici quelques exemples :

1) Intégration à GitHub Actions

Socket offre une prise en charge native de GitHub Actions via son CLI (socketcli) et des workflows dédiés.
Il analyse les dépendances lors des requêtes d’extraction (PR) et des exécutions CI, en créant des rapports ou en bloquant les modifications à risque.

2) Intégration à GitLab CI

Socket propose une intégration directe à GitLab CI via des commandes CLI dans les pipelines .gitlab-ci.yml.
La documentation officielle fournit les étapes de configuration, y compris l’utilisation de jetons d’API pour analyser les manifestes et bloquer les risques liés à la chaîne d’approvisionnement.

Il analyse les dépendances pendant les demandes de fusion (MR) et les exécutions CI, en créant des rapports ou en bloquant les modifications à risque.

3) Intégration à Jenkins CI

L’intégration de Jenkins est disponible via le CLI de Socket.
Utilisez-le dans vos pipelines Jenkins (par ex., Jenkinsfile) en installant l’image Docker/CLI, en configurant des variables d’environnement telles que SOCKET_CLI_API_TOKEN, et en exécutant les étapes socket install ou socket scan.

ALM Toolbox est le distributeur officiel des solutions Socket. Nous vous accompagnons dans la mise en œuvre de Socket, le choix des licences adaptées à vos besoins, l’intégration avec les outils de CI et l’application des meilleures pratiques DevSecOps et AppSec.
Pour plus de détails, essayer Socket ou obtenir un devis – contactez-nous :
socket@almtoolbox.com ou par téléphone : 866-503-1471 (États-Unis / Canada) ou +31 85 064 4633

Liens connexes :

Qu’est-ce que Docker Business ?

Gitlab France AdminLeave a comment
Docker Business

Docker Business est l’un des principaux niveaux d’abonnement de la solution Docker, il ajoute des couches de sécurité supplémentaires à l’offre de base de Docker.
Une question fréquente que nous recevons est : « Quelles sont les fonctionnalités spéciales disponibles uniquement dans Docker Business ? »

Nous avons donc préparé un résumé rapide pour vous.

Remarque : Vous souhaitez une liste entièrement détaillée de toutes les fonctionnalités et capacités de nos différents plans ? Envoyez-nous simplement un e-mail – nous sommes heureux de vous aider ! (Voir les coordonnées ci-dessous).

Voici les principales fonctionnalités de Docker Business :

1. Hardened Docker Desktop:

Applique de manière centralisée les politiques de sécurité et les garde-fous (guardrails), tels que les paramètres et les restrictions sur les registries et les images, sur Docker Desktop et renforce l’isolement – sans interrompre les workflows des développeurs.

2. Single Sign-On (SSO):

Permet aux utilisateurs de s’authentifier sur Docker Desktop et Hub en utilisant l’IdP de votre entreprise ; prend en charge SAML et Microsoft Entra (OIDC), avec la vérification de domaine et une application à l’échelle de l’organisation.

3. SCIM user provisioning:

Automatise la gestion du cycle de vie depuis votre IdP vers Docker – provisionnement, mises à jour, dé-provisionnement et mappages d’équipes – afin que l’appartenance à l’organisation reste synchronisée sans administration manuelle.

Image and Registry Access Management :
Restreint les registries auxquels les développeurs peuvent accéder et les classes d’images qu’ils peuvent extraire (pull), par exemple, les Official Images ou les Verified Publisher, réduisant ainsi l’exposition à des sources non fiables.

4. Provisionnement d’utilisateurs SCIM:

Restricts which registries developers can access and which image classes they may pull (e.g., Official Images, Verified Publisher), reducing exposure to untrusted sources.

5. Desktop Insights Dashboard:

Fournit une visibilité au niveau de l’organisation sur l’adoption et l’utilisation de Docker Desktop, avec des filtres par plage de dates et une exportation CSV pour soutenir la conformité (compliance), la planification de la capacité et l’optimisation des licences.

6. Enhanced Container Isolation (ECI):

Ajoute des défenses plus robustes – user-namespace remapping, protected mounts, contrôles syscall plus stricts – de sorte que même les containers avec des privilèges ne peuvent pas compromettre la VM de Docker Desktop ou l’hôte, avec un changement minimal de workflow.

De plus, Docker a récemment commencé à proposer les Docker Hardened Images (DHI) : ce sont des images de containers qui sont sécurisées (et allégées) par défaut, conçues spécifiquement pour les environnements de production modernes. Pour en savoir plus, lisez ici ou contactez-nous.

Notre société (ALM Toolbox) représente officiellement Docker en tant que « Preferred Partner ».
Nous aidons nos clients à résoudre des problèmes DevOps complexes liés au DevOps et à l’infrastructure sur laquelle il s’exécute, y compris git, les containers, Postgres, Redis, NginX, Prometheus, Grafana, Kubernetes, Terraform, Elastic et plus encore.
Pour plus de détails, contactez-nous : docker@almtoolbox.com ou appelez-nous :
866-503-1471 (États-Unis / Canada) ou +31 85 064 4633 (International) + 33 1 84 17 53 28 (Europe)

Liens utiles:

Nous représentons Fossa en France

Jean-Michel BonnetLeave a comment
Fossa logo

Nous sommes heureux d’annoncer que nous avons été choisis pour représenter officiellement les solutions de la société Fossa en France. Nous proposons désormais le support, l’intégration aux processus de développement et CI/CD, une aide au choix de la licence adaptée aux besoins de votre organisation, la vente de licences, l’intégration avec des outils complémentaires (tels que GitHub / GitLab, Bitbucket, SonarQube, Jira, Azure DevOps Jenkins et plus encore), des services managés (Managed Services) et bien plus encore.

Les solutions de Fossa offrent des fonctionnalités d’Analyse de la Composition Logicielle (SCA) et de protection pour votre code (code sécurisé) et vos applications, en réduisant les risques liés à l’utilisation de l’open source. Cela concerne aussi bien les risques de sécurité de l’information et la détection de vulnérabilités dans le code tiers que vous utilisez, que les risques liés à une utilisation incorrecte et illégale du code open source d’autrui (Conformité des Licences) qui ne respecte pas les règles de licence du code.

Le produit prend actuellement en charge 35 langages de programmation et frameworks, parmi lesquels : Java, C, C++, C#, GoLang, Python, JS et plus encore.

Fossa propose une « Analyse d’Atteignabilité » (Reachability Analysis) – un rapport qui sait se concentrer sur les zones de code les plus vulnérables et où le risque de pénétration est le plus grand.

Le produit prend en charge plusieurs cas d’usage, notamment :

  1. Gestion des Vulnérabilités
  2. Conformité des Licences
  3. Gestion des SBOM (Nomenclature Logicielle)
  4. Solution SCA Complète
  5. Atténuation des Risques en Amont (« Shift-Left »)
  6. Due Diligence
  7. Conformité Continue et Automatisée

La solution peut être installée en auto-hébergement (self-managed / self-hosted / on-premises), que ce soit sur un réseau fermé ou dans le cloud. Le produit de base inclut plusieurs fonctionnalités disponibles dans l’édition gratuite (Free Edition). Au-delà de l’édition gratuite, des éditions commerciales (Business / Enterprise Editions) sont disponibles moyennant des frais.

Il est également possible de connecter Fossa à des outils d’Intégration Continue (CI) afin de contrôler les processus de développement et de CI/CD, comme le blocage des fusions de code (merges) qui ne répondent pas à un certain seuil de qualité. Il est aussi possible de connecter Fossa à Jira pour l’ouverture automatique de tickets de bugs.

Vous souhaitez plus d’informations ?

Pour une démonstration, vous pouvez nous contacter par e-mail ou par téléphone : devops.fr@almtoolbox.com ou au 33(0)1 84 17 53 28 ,vous pouvez également nous contacter pour recevoir les instructions d’installation.

Un bref aperçu de Fossa (3 minutes):