GitLab CI et l’integration Akeyless Vault

Vous pouvez utiliser la gestion des secrets Akeyless Vault dans GitLab et GitLab CI.

gitlab akeylesss logosLe code placé dans GitLab ou GitLab CI/CD nécessite des secrets afin d’exécuter correctement l’accès aux diverses ressources.
En intégrant GitLab CI à Akeyless Vault, vous n’auriez pas besoin de garder des secrets codés en dur dans le code GitLab
référentiel tels que les informations d’identification de nom d’utilisateur et de mot de passe, les clés API, les jetons et les certificats.

Vous voulez en savoir plus et comment nous pouvons vous aider:

ALM-Toolbox fournit des solutions ALM et DevSecOps et peut vous aider à protéger vos référentiels et vos environnements logiciels/cloud.

Contactez-nous : devsecops@almtoolbox.com   ou +33(0)1 84 17 53 28    

Utile:

Des vulnérabilités dans des applications tierces ont causé le vol de code de GitHub

github vulnerabilities

GitHub a signalé qu’un pirate exploitait apparemment une faille de sécurité ou
erreur humaine sur les applications tierces Travis et Heroku.

La faille de sécurité a exposé les jetons, permettant au pirate de voler les jetons et de les utiliser pour entrer dans des référentiels privés sur GitHub (y compris NPM)
il a donc réussi à télécharger ces référentiels – y compris tout le code et les informations qu’ils contiennent.

Cela signifie que : des vulnérabilités dans des applications tierces ont causé le vol de code de GitHub

Comment pouvez-vous empêcher un piratage similaire de votre dépôt git ?

Il existe plusieurs solutions différentes – et vous devez toutes les mettre en œuvre :

1) Réduire les autorisations

Si vous utilisez GitHub dans le cloud public (github.com) et donnez aux fournisseurs tiers un accès Oauth (le type de jetons volés) –
minimiser les autorisations que vous accordez à des tiers pour accéder à vos informations.

Vous devez également passer en revue les autorisations qu’ils demandent et vous assurer qu’elles ne sont pas trop larges et permissives.

Une erreur courante consiste à accorder des autorisations globales.

Il en va de même lors de l’octroi d’autorisations aux applications GitHub (qui génèrent également des jetons).

2) Ajouter des couches de protection

Vous devriez également envisager de passer à GitHub / GitLab Enterprise sur un serveur privé
(sur site / locataire unique / autogéré) derrière des couches de protection supplémentaires telles que pare-feu, SSO ou accès distant sécurisé,

ou utilisez uniquement des adresses IP autorisées (dans les éditions de cloud public), qui offrent des couches de protection supplémentaires contre les utilisateurs non autorisés du monde entier.

3) Protéger les secrets

Au-delà de cela – il est important que le fournisseur tiers stocke les jetons dans un outil de coffre-fort centralisé – ce qui aurait rendu très difficile pour les pirates d’obtenir les jetons (le rendant presque toujours inaccessible).

Si vous utilisez de tels tiers, vérifiez ou assurez-vous (dans le cadre de votre chaîne d’approvisionnement) qu’ils le stockent dans des outils Vault tels que Akeyless Vault (SaaS et une solution hybride) ou HashiCorp pour les réseaux fermés.

Il en va de même pour toute application qui accorde des autorisations d’accès à des tiers à l’aide de jetons.

ALM-Toolbox fournit des solutions ALM et DevSecOps et peut vous aider à protéger vos référentiels et vos environnements logiciels/cloud.

Contactez-nous : devsecops@almtoolbox.com   ou +33(0)1 84 17 53 28    

Témoignage client : pourquoi Stash Company a choisi les solutions Akeyless

Gavin Grisamore, the CISO of Stash (an American company from New York that deals with finance and investments) explains in the following recording why they chose the
Secrets Management and Secure Remote Access solutions of Akeyless,
and how it also helps them implement remote access for their employees and how it resolves their “Zero Trust” challenges.

Watch here (6 min.):

Gavin Grisamore, le CISO de Stash (une société américaine de New York qui s’occupe de la finance et des investissements) explique dans l’enregistrement suivant pourquoi ils ont choisi le
Les solutions de gestion des secrets et d’accès à distance sécurisé d’Akeyless,
et comment cela les aide également à mettre en œuvre l’accès à distance pour leurs employés et comment cela résout leurs défis « Zero Trust ».

Regardez ici (6 min.):

Nous avons ajouté des sous-titres  pour votre convenance.

Le texte intégral est disponibleici 

 

Nous représentons officiellement Akeyless en France et dans le monde, et nous sommes spécialisés dans les solutions de l’entreprise et DevSecOps.
Nous serons heureux de répondre à vos questions concernant les solutions Akeyless, et de vous aider à évaluer les produits et sa bonne implantation dans l’organisation.
Pour plus de détails contactez-nous : akeyless@almtoolbox.com ou par téléphone : +33 01 84 17 53 28

Lien utiles:

Sécurité et conformité du code à l’aide de GitLab

Outre le contrôle de version et CI/CD, GitLab propose également une variété de tests de sécurité sur votre code propriétaire (que vous développez) ou le code externe que vous utilisez (c’est-à-dire open source), ainsi que des capacités de conformité de code – pour vous aider à valider que vous faites correctement et l’utilisation légale des bibliothèques open source et des extraits de code que vous pouvez utiliser.

En fait, dans GitLab, vous pouvez également exécuter les tests sur le code lui-même, puis tout voir à l’aide d’un tableau de bord central qui montre tout organisé, et vous permet également d’exécuter certaines actions sur les résultats et les conclusions, et de partager les informations entre toutes les parties prenantes. (ou celui qui est autorisé à le regarder dépend des autorisations).

gitlab security dashboard
Tableau de bord de sécurité de GitLab (vue au niveau du groupe). Cliquez pour agrandir.

Les tests peuvent être exécutés à partir de GitLab CI (l’outil CI/CD intégré fourni avec GitLab) et peuvent également être connectés à d’autres outils CI tels que Jenkins.

Les tests peuvent être exécutés même si le code se trouve dans un autre outil SCM (tel que git, GitHub, Bitbucket, etc.).

Certains des tests sont dynamiques, ce qui signifie qu’ils ne s’exécutent pas sur le code lui-même mais sur l’application ou le site Web qui exécute le code.

Il peut être exécuté à la fois à partir d’un serveur GitLab privé (auto-hébergé) ou à partir du cloud / SaaS (par exemple, gitlab dot com).

Vous pouvez voir ici un aperçu des fonctionnalités d’analyse de sécurité pertinentes :

Remarque : la plupart des fonctionnalités ici nécessitent une licence GitLab Ultimate. Si vous avez besoin d’un devis, contactez-nous (nos coordonnées sont ci-dessous).

Fonction 

Description

Container Scanning Exécutez une analyse de sécurité pour vous assurer que les images Docker de votre application ne présentent aucune vulnérabilité connue dans l’environnement dans lequel votre code est expédié
Dependency List Identifiez les composants inclus dans votre projet en accédant à la liste des dépendances (également appelée nomenclature ou nomenclature), qui est souvent demandée par les équipes de sécurité et de conformité
Dependency Scanning Protégez votre application des vulnérabilités qui affectent les dépendances dynamiques en détectant automatiquement les bogues de sécurité bien connus dans vos bibliothèques incluses.
Static Application Security Testing (SAST) Recherche de code source vulnérable ou de bogues de sécurité bien connus dans les bibliothèques incluses par l’application. Les résultats sont ensuite affichés dans la demande de fusion et dans la vue Pipeline.
Ce test est compatible avec les langages de code suivants : C/C++, Apex, .NET, Java, Go, JS, Python, PHP, Swift, TypeScript, NodeJS, etc.
Dynamic Application Security Testing (DAST) Assurez-vous de ne pas être exposé aux vulnérabilités des applications Web telles que l’authentification interrompue, les scripts intersites ou l’injection SQL
Secret Detection Vérification des secrets et des informations d’identification commis involontairement dans le code git et l’historique
API Fuzzing Testez les API dans vos applications pour trouver les vulnérabilités et les bogues qui manquent aux processus d’assurance qualité traditionnels
Coverage Fuzzing Trouvez des failles de sécurité et des bugs dans votre application que les processus d’assurance qualité traditionnels manquent, prenant en charge
C/C++, Go, Java, JS, Python et d’autres langages de code.
Security Dashboard Gagnez en visibilité sur les correctifs prioritaires en identifiant et en suivant les tendances des risques de sécurité dans l’ensemble de votre organisation
License Compliance Vérifiez que les licences de vos dépendances sont compatibles avec votre application (par exemple, licences GPL, BSD, Apache, MIT, etc.), et approuvez-les ou refusez-les

ALM-Toolbox  est le représentant officiel de GitLab  dans de nombreux pays dont la France ,      Pour plus de détails, contactez-nous :+33(0)1 84 17 53 28,           devops.fr@almtoolbox.com

 

Last update: December 2021

 

Quels sont les défis dans l’auto-développement des capacités Vault Enterprise ?

Vault Enterprise (ainsi que Vault Self Managed et HCP Vault Cloud) sont actuellement à la pointe de la technologie de gestion des secrets.

Dans   la vidéo ici (que nous avons également traduite), Andy Manoske,  le chef de produit de Vault, est interviewé expliquant une partie de la complexité du produit et des coulisses, ainsi que ce que cela signifie d’essayer de développer par vous-même les capacités qui n’existent que dans les versions payantes de Vault.

 Regardez la vidéo sur Vault Enterprise (3 minutes) :

Nous avons ajouté des sous-titres en anglais à cette vidéo et l’avons traduite en français :

“La mise en œuvre de Vault, en tant que produit, était complexe. Bien qu’il soit facile à utiliser pour les utilisateurs, c’est grâce au fait que les aspects de gestion des clés et de sécurité ont été retirés de la responsabilité des utilisateurs et déplacés vers le côté architectural à travers lequel le produit a été construit.
Certaines fonctionnalités, telles que la réplication (à des fins de haute disponibilité) sont intrinsèquement complexes. Ils sont complexes à un tel niveau qu’ils nécessitent à la fois une connaissance approfondie et une expertise des problèmes de sécurité, ainsi que beaucoup de temps de développement (entre autres pour prouver que certaines choses sont bien sécurisées de haut niveau). une connaissance approfondie de Vault et de la création de systèmes sécurisés. Mais cela ne signifie pas que nous sommes des scientifiques de fusée.”

Nous ne sommes pas nécessairement plus intelligents que les autres, mais c’est vraiment en fonction du temps qu’il a fallu passer – et nous l’avons fait. Par exemple, en ce qui concerne la réplication, nous avons investi beaucoup de temps, ce qui vous aide à vous assurer que personne ne piratera le système ou ne le brisera en utilisant un vecteur d’attaque dérivé du fait qu’il s’agit d’une réplication.
En tant qu’entreprise, il nous a fallu deux ans et demi pour créer une solution de réplication, et cela impliquait de travailler avec ceux qui ont développé le produit de base Vault. On peut donc dire que payer pour Vault Enterprise permet d’économiser au moins deux ans et demi d’auto-développement.

Vault, en coulisses, est un produit complexe à développer

La deuxième caractéristique d’un produit que les utilisateurs rencontrent est en fait une question de complexité. Ce que je veux dire, c’est que Vault repousse non seulement les limites de la technologie, mais innove également du côté scientifique de la façon dont nous protégeons les données.
Des fonctionnalités telles que la réplication, par exemple, sont au premier plan de toute l’informatique décentralisée. Ainsi, lorsque nous créons des fonctionnalités telles que la réplication ou que nous créons des outils pour lesquels Vault doit désormais fonctionner dans un environnement global et pourtant de manière très sécurisée, nous le faisons d’une manière qui nécessite une compréhension très profonde et intime de problèmes tels que l’informatique distribuée et sécurisée. , cryptographie, dans certains cas avec des langages formels et des méthodes formelles. Honnêtement, ce sont des domaines qui sont très difficiles à comprendre. Non seulement à cause de la complexité du sujet, mais aussi parce qu’il est rare de trouver des personnes qui ont des compétences en la matière.

Heureusement, nous avons des ingénieurs chez HashiCorp qui ont une connaissance approfondie de certains de ces domaines théoriques de l’informatique et des mathématiques appliquées. Mais leur application est nécessaire pour vraiment comprendre et surmonter les défis liés à la réplication, au transit, à de nombreuses fonctionnalités de Vault et en particulier à Vault Enterprise. »

hashicorp vault enterprise

Quelques  détails sur Vault vous ignoriez peut-être :

  • Le produit est en développement depuis 2015 Open source basé sur Vault
  • Le produit Vault est actuellement un standard de facto dans le domaine de la gestion des secrets et de la protection des informations sensibles.
  • Le produit a une version gratuite ainsi que des versions Entreprise qui peuvent être auto-installées (même dans le cloud),Et incluez toutes les fonctionnalités de la version gratuite, en plus du support technique du fabricant ainsi que des fonctionnalités supplémentaires telles que la réplication, les espaces de noms, la haute disponibilité, etc.
  • Des milliers d’entreprises à travers le monde utilisent Vault Enterprise (et bien sûr en France aussi )

 

ALMtoolbox est le distributeur officiel des produits Vault et HashiCorp en France (et dans d’autres pays), et se spécialise également dans la fourniture de services supplémentaires à Vault, notamment:

  • Choix de license  Enterprise selon vos besoins  (achat sur commande avaec paiements)
  • Mises à niveau de la version sécurisée vers Vault
  • HashiCorp Vault Formations
  • Conception de système Vault et son implémentation  dans les serveurs de votre  organisation, dans un cloud privé ou public (comme Kubernetes, AWS, Azure, Google Cloud et plus)
  • Vault Managed Services
  • Intégration avec des outils complémentaires, tels que Terraform, Consul, Kubernetes, Nomad, Sentinel, git, GitLab, Chef, Puppet, Jenkins, Spotinst, Docker, Artifactory et plus Services gérés et centre de support – y compris la possibilité de SLA – même pour de courtes périodes.

Pour  nous contacter ALMtoolbox :
Tel 01 84 17 53 28, hashicorp.fr@almtoolbox.com

 

Liens utiles:

Vault HCP Cloud VS Vault Enterprise

Comme vous le savez, il y a quelques mois, HashiCorp a commencé à proposer le produit populaire Vault en tant que service géré par eux dans le cloud.
(Sous le nom “Vault HCP” ou Vault Cloud), et officiellement en tant que version “GA” (alors que jusque-là, il n’était proposé qu’en tant que on premise).

Récemment, suite aux questions  des personnes  qui se sont interrogées sur les différences entre les deux , nous avons examiné la question en profondeur, et voici les conclusions :

Au moment  ou nous écrivons  ces lignes, le produit Vault Cloud géré par HashiCorp offre un ensemble de fonctionnalités de base équivalent à la plate-forme Enterprise de base uniquement, de sorte que les fonctionnalités actuellement proposées sont :

Espaces de noms, reprise après sinistre, surveillance de la télémétrie et support client (support fabricant).

C’est sans les capacités de gouvernance et de politique offertes dans la version Entreprise ;

Sans capacités multi-centre de données et d’échelle

Et sans protection avancée des données.

Vous pouvez obtenir chez nous un tableau détaillé de toutes les capacités de l’entreprise,
et y trouver ce qui n’est pas dans Vault HCP Cloud – les détails ci-dessous.

Quel signification ? Et quelles sont les options qui s’offrent à nous?

Vous avez en fait 3 options  lorsqu”il s’agit de  la mise en œuvre de Vault :

  1. Vault on prem  dans votre gestion auto-hébergée – cela peut être fait avec le produit open source et avec les versions Enterprise (en achetant une licence appropriée).
  2. Vault Cloud HCP en tant que service géré de HashiCorp (sous les restrictions énumérées ci-dessus)
  3. Vault est géré pour vous par une société externe (comme nous).Vous pouvez utiliser le produit gratuit ou la version Entreprise afin de profiter de toutes les fonctionnalités existantes.

Nous sommes les distributeurs officiels de HashiCorp en France (et dans d’autres pays) offrant un support et la vente de licences pour les 3 options ci-dessus – vous pouvez nous contacter ALMtoolbox :

Tel 01 84 17 53 28, devo ps.fr@almtoolbox.com

 

 

GitLab 13.9: une image vaut mille mots

Découvrez comment les nouvelles fonctionnalités sont réparties entre les étapes et les fonctionnalités

GitLab 13.9 est sorti  il y a quelques jours avec des dizaines de nouvelles fonctionnalités.

Comme nous l’avons initialement  fait  il y a un mois, nous avons publié un diagramme mis à jour de toutes les fonctionnalités de GitLab séparées par étapes (axe Y) et éditions (Free / Premium / Ultimate).

On nous pose souvent des questions sur les avantages des versions gratuites et payantes de GitLab, nous avons donc récemment analysé toutes les fonctionnalités de GitLab pour quantifier et visualiser la valeur de GitLab Free, Premium et Ultimate.

On dit qu’une image vaut mille mots – vous pouvez donc la voir maintenant (cliquez pour agrandir):

gitlab features premium ultimate all features 13.9
L’axe Y reflète les 11 étapes existantes (Gérer, Planifier, Créer, etc.). L’axe X reflète le pourcentage pondéré (normalisé et proportionnel à 100% pour chaque étape)

 

Ce que nous voyons ici:

Tout d’abord, nous avons pris la liste de toutes les fonctionnalités existantes dans GitLab (actuellement, à partir de la version 13.9 publiée le 22/02/2021, il y en a 494 au total).

Ensuite, nous avons pris les 11 étapes du cycle de vie DevOps existant dans GitLab (tel que défini par GitLab dans le diagramme ci-dessous **), et pour chaque étape, nous avons vérifié le nombre de ses fonctionnalités dans la version gratuite (les zones vertes dans le graphique au dessus); combien en Premium (en bleu) et combien en Ultimate (en jaune).

Étant donné que le nombre de fonctionnalités varie d’une étape à l’autre, nous l’avons normalisé pour le voir en pourcentages afin qu’ils puissent être affichés dans un graphique, l’un au-dessus de l’autre.

Et  voici le résultat  (ci-dessus).

Comme mentionné, l’axe Y reflète les 11 étapes existantes (Gérer, Planifier, Créer, etc.).

L’axe X reflète le pourcentage pondéré (normalisé et proportionnel à 100% pour chaque étape).

Details:

  • Certaines étapes sont entièrement disponibles lors de l’utilisation de la version Premium (c’est-à-dire que 100% des fonctionnalités sont à l’intérieur, car les fonctionnalités Premium (en bleu) viennent en plus des fonctionnalités gratuites (en vert). Ce sont les étapes suivantes:
    • Créer (Contrôle de version: créer, afficher et gérer le code et les données de projet via de puissants outils de branchement)
    • Verity (CI: maintenir des normes de qualité strictes pour le code de production avec des tests et des rapports automatiques)
    • Package (artefacts: créez une chaîne logistique logicielle cohérente et dépendante avec une gestion intégrée des packages)
    • Activation (recherche globale; géoréplication, DR, installations cloud natives et omnibus)

Autrement dit, la version Enterprise Premium couvre 100% des fonctionnalités dans 4 domaines du cycle de vie DevOps

  • En moyenne, environ 90% des fonctionnalités totales de GitLab existent dans Free + Premium.
  • Vous pouvez voir que ceux qui sont intéressés par la vaste collection de tests de sécurité disponibles dans GitLab devraient choisir la version Ultimate (et vous pouvez en savoir plus ici).

Notes complémentaires:

  • La version Premium est disponible en auto-hébergé (comme votre machine privée) ou dans le cloud public gitlab.com (la version anciennement appelée “Gold”). L’exemple ici fait référence à Auto-hébergé. Il est important de se rappeler que dans le cloud gitlab.com, certaines des fonctionnalités ci-dessus n’existent pas.
  • ** Les étapes DevOps selon GitLab:

gitlab devops lifecycle

Pour toute question sur  GitLab,les licenses et les differences   un devis ou même une license d’évaluation, contactez nous :
EGDS France – ALMtoolbox : 01 84 17 53 28, devops.fr@almtoolbox.com

 

Related Links:

Enregistrement: Protection avancée des données pour les services bancaires et financiers utilisant Vault

vault

Nouveau!!

En tant que gardiens des choses de valeur, les institutions financières traitent depuis longtemps des problèmes de cybercriminalité, ce qui en fait l’un des principaux risques auxquels le secteur est confronté. Cependant, alors que les organisations passent au cloud et que les menaces deviennent de plus en plus sophistiquées, comment protégez-vous les données les plus sensibles, même dans des environnements non approuvés? Au cours de cette session, nous explorerons comment HashiCorp Vault fournit la base de la sécurité du cloud. En offrant des fonctionnalités avancées de protection des données telles que le chiffrement en tant que service avec le chiffrement à préservation du format (FPE), le masquage des données via le moteur de secrets Transform, l’intégration de KMIP et HSM, Vault augmente l’agilité pour déployer une cryptographie nouvelle et isolée et, en même temps , réduit les coûts et les risques.

Auteur : Russ Parsloe, Staff Solutions Engineer, HashiCorp

Dans ce webinaire, vous apprendrez à:

  1. Comprenez les défis de sécurité importants grâce à la protection et au chiffrement avancés des données dans les environnements traditionnels et cloud
  2. Protégez les charges de travail et les données sur les systèmes, les clouds et l’infrastructure traditionnels
  3. Protégez les données dans les bases de données d’entreprise (par exemple MySQL, MongoDB, etc.), les systèmes de stockage d’entreprise (par exemple NetApp) et les plates-formes informatiques (par exemple VMware)

Regarder la video:

GitLab acquiert Gemnasium et offre ainsi de nouvelles fonctionnalités de sécurité de code intégrées

 

gitlab-gemnasium

GitLab, a annoncé l’acquisition de Gemnasium, un outil  qui analyse les failles de sécurité dans les bibliothèques open source  et qui fera bientôt partie du produit GitLab .

Ce changement aide les utilisateurs de GitLab à profiter d’une analyse de code statique. tests de sécurité dynamique, numérisation de conteneurs de sécurité et plus encore. L’outil peut maintenant scanner les langages de code Ruby, Python et JavaScript  et très bientôt PHP et Java seront également supportés.

Les nouvelles fonctionnalités seront ajoutées à GitLab sur la prochaine version (10.5) qui sera publiée le 22 Février, et il sera proposé dans le cadre de l’édition Enterprise Ultimate (mais vous pouvez intégrer d’autres outils de scanner de sécurité avec GitLab et GitLab CI / CD – contactez-nous pour plus de détails) .

Ce réaménagement  aide GitLab à renforcer son offre de sécurité et de CI / CD par rapport à des outils comme GitHub et Bitbucket  et rend son nouveau package Ultimate encore plus attrayant .

Vous avez besoin d’une licence d’essai, d’un compte d’essai sur gitlab.com, d’une démo ou d’un devis?

Contactez-nous: gitlab@almtoolbox.com ou 01 84 17 53 28 (France) / +972-722-405-222 (international) / 866-503-1471 (US / Canada)

 

Notre société ALMtoolbox est un revendeur agréé GitLab, pour l’Europe et Israel.
Nous avons des experts qui peuvent vous aider:

  • Planifier une nouvelle implémentation
  • Mettre en place de nouveaux environnements
  • Vous aider à choisir la bonne licence d’abonnement pour vous
  • Implémenter l’intégration avec JIRA, Jenkins, Slack, Docker et d’autres outils
  • Personnalisations et développement de modules complémentaires
  • Formation GitLab et Git
  • Implémenter la migration à partir de Git, GitHub, BitBucket, TFS, ClearCase, RTC, Subversion (SVN), JIRA, Jenkins et plus
  • Services gérés

Contactez-nous: gitlab@almtoolbox.com ou 01 84 17 53 28 (France) / +972-722-405-222 (international) / 866-503-1471 (USA/Canada)

 

Liens utiles: