Sécurité et conformité du code avec GitLab

 

gitlab logo security devsecops

Outre le contrôle de version et le CI/CD, GitLab propose également une variété de tests de sécurité sur votre code propriétaire (code que vous développez) ou sur le code externe que vous utilisez (c’est-à-dire open source), ainsi que des capacités de conformité du code – pour vous aider à vous assurer que vous faites l’utilisation appropriée et légale de toutes les bibliothèques open source et des extraits de code.

En fait, dans GitLab, vous pouvez également exécuter les tests sur le code lui-même, puis tout voir à l’aide d’un tableau de bord central qui montre tout organisé.
Le tableau de bord de GitLab vous permet également d’exécuter certaines actions sur les résultats et les découvertes, et de partager les informations entre toutes les parties prenantes (ou quiconque est autorisé à les regarder en fonction des autorisations).

gitlab security dashboard
Tableau de bord de sécurité de GitLab (vue au niveau du groupe). Cliquez pour agrandir.

Les tests peuvent être exécutés à partir de GitLab CI (l’outil CI/CD intégré fourni avec GitLab) et peuvent également être connectés à d’autres outils CI tels que Jenkins.

Les tests peuvent être exécutés même si le code se trouve dans un autre outil SCM (tel que git, GitHub, Bitbucket, etc.).

Certains des tests sont dynamiques, ce qui signifie qu’ils ne s’exécutent pas sur le code lui-même, mais sur l’application ou le site Web qui exécute le code.

Les tests peuvent être exécutés à la fois depuis un serveur GitLab privé (auto-hébergé) ou depuis le cloud / SaaS (par exemple, gitlab dot com).

Vous pouvez voir ici un aperçu des fonctionnalités d’analyse de sécurité pertinentes :

Remarque : la plupart des fonctionnalités ici nécessitent une licence GitLab Ultimate. Si vous avez besoin d’un devis, contactez-nous (nos coordonnées sont ci-dessous).

Feature

Description

Container Scanning Exécutez une analyse de sécurité pour vous assurer que les images Docker de votre application ne présentent aucune vulnérabilité connue dans l’environnement où votre code est livré.
Dependency List Identifiez les composants inclus dans votre projet en accédant à la liste des dépendances (également appeléeBill of Material ou BOM), qui est souvent demandée par les équipes de sécurité et de conformité.
Dependency Scanning Protégez votre application des vulnérabilités qui affectent les dépendances dynamiques en détectant automatiquement les bogues de sécurité bien connus dans vos bibliothèques incluses.
Static Application Security Testing (SAST) Recherche de code source vulnérable ou de bogues de sécurité bien connus dans les bibliothèques incluses dans l’application. Les résultats sont ensuite affichés dans la demande de fusion et dans la vue Pipeline.
Ce test prend en charge les langages de code suivants:  C/C++, Apex, .NET, Java, Go, JS, Python, PHP, Swift, TypeScript, NodeJS et plus.
Dynamic Application Security Testing (DAST) Assurez-vous que vous n’êtes pas exposé aux vulnérabilités des applications Web telles que l’authentification cassée, les scripts intersites ou l’injection SQL.
Secret Detection Vérification des secrets et des informations d’identification involontairement commis dans le code git et l’historique.
API Fuzzing Testez les API dans vos applications pour trouver les vulnérabilités et les bogues qui manquent aux processus d’assurance qualité traditionnels.
Coverage Fuzzing Trouvez des vulnérabilités de sécurité et des bogues dans votre application que les processus d’assurance qualité traditionnels manquent, prenant en charge
C/C++, Go, Java, JS, Python et autres langages de code.
Security Dashboard Gagnez en visibilité sur les correctifs prioritaires en identifiant et en suivant les tendances des risques de sécurité dans l’ensemble de votre organisation.
License Compliance Vérifiez que les licences de vos dépendances sont compatibles avec votre application(e.g. GPL, BSD, Apache, MIT licenses etc.), et les approuver ou les refuser.

 

ALMtoolbox est le  représentant officiel de GitLab, Hashicorp  en France et dans d’autres pays.

Contactez pour toute question, un devis ou même une license d’évaluation:
par email  devops.fr@almtoolbox.com ou +33 1 84 17 53 28
 Nous fournissons des conseils GitLab, la migration, aidons les clients à choisir les licences les mieux adaptées, un hébergement privé, un support de qualité et rapide, le développement de modules complémentaires GitLab et nous soutenons et vendons une variété d’outils DevSecOps et ALM.

 

First release: December 2021
 

 

Nouveau : Bibliothèque VOD des webinaires DevOps

devops webinars video on demand

Nous avons récemment organisé les vidéos que nous avons enregistrées au fil des ans dans une “bibliothèque” centralisée de VOD (Video On-Demand).
Nous l’avons classé par produits, tags, langue et date d’enregistrement (à votre convenance).

N’hésitez pas à trouver ce qui vous intéresse le plus et regardez !

>>>>La bibliothèque DevOps VOD est disponible ici

 

ALM-Toolbox est un distributeur officiel de SonarQube,GitLab et autres, offre du conseils, des licences SonarQube et SonarCloud, la mise en œuvre, la formation et aide les clients à intégrer SonarQube aux flux commerciaux et aux pipelines CI/CD.
Contactez-nous pour toute question, y compris les prix et les devis : sonarqube@almtoolbox.com ou appelez-nous : 866-503-1471 (USA/Canada) ou +33 (0)1 84 17 53 28

Quelles sont les différences entre les éditions SonarQube ?

Last update: March 2023 (published first at June 2021)

On nous demande souvent quelles sont les différences entre les versions de SonarQube.
D’après les questions, il est clair que les options de licence ne sont pas si claires et assez déroutantes, j’ai donc décidé d’écrire les points essentiels et de mettre un peu d’ordre.

Legende

Dans l’article suivant, j’explique les différences, et d’ailleurs nous avons récemment créé un fichier automatique qui vous permet de voir facilement toutes les fonctionnalités du produit, en détail et par éditions (vous pouvez donc utiliser des filtres et voir par exemple quelles fonctionnalités sont uniquement dans les éditions Developer / Enterprise ; quelles fonctionnalités ne sont pas dans une certaine édition, etc.) . Vous pouvez nous envoyer un e-mail (sonarqube@almtoolbox.com) et obtenir cette fichier automatique.

sonarqube-excel
Cliquez pour agrandir. Envoyez-nous un e-mail pour obtenir la feuille de calcul complète.

 

Principales différences dans les éditions SonarQube

SonarQube Editions

Dans cet article, j’explique les principales différences entre les éditions SonarQube.

SonarQube a été construit dans un modèle “Open Core”, ce qui signifie qu’il s’agit d’une source ouverte construite par couches : chaque couche contient l’ancienne couche plus des fonctionnalités supplémentaires :

  • L’édition communautaire (gratuite) est la base
  • Ensuite, vous avez Developer Edition en couche additionnelle
  • Puis l’Enterprise Edition en plus
  • Et enfin l’édition Data Center en plus

Voire l’illustration sur le côté droit.

Voyons les principales fonctionnalités qui sont ajoutées dans chaque édition (couche).

Qu’y a-t-il dans l’édition communautaire ?

Cette édition est open source gratuite et offre les éléments suivants :

1. Noyau de SonarQube et plus de 60 plugins.
Vous avez une variété de plugins conçus pour SonarQube (certains sont gratuits tandis que vous devez payer pour d’autres). Vous pouvez également créer vos propres plugins (et nous pouvons le créer pour vous).

2. Numérisation des langages de code (analyse de code statique)

L’édition communautaire prend en charge une analyse de base de 16 langues :
Java, Javascript, C#, Terraform, Kubernetes, TypeScript, Kotlin, Ruby, Go, Scala, Flex, Python, PHP, HTML, CSS, XML, VB.NET

3. Analyse de la branche master (principale)

Scannez la branche git master (principale).

Notez que vous ne pouvez pas analyser d’autres branches (par exemple, les branches de fonctionnalités) à l’aide de l’édition de la communauté, vous ne pouvez donc pas appliquer la méthodologie “Shift Left” à l’aide de cette édition.

4. SonarLint

SonarLint vous aide à recevoir des notifications sur les problèmes de code et les bogues, en temps réel, dans l’IDE des développeurs (par exemple IntelliJ / VS Code) – ce qui les aide à développer plus de “code propre”.
Remarque : SonarLint ne peut pas être configuré dans cette version (vous pouvez le faire dans l’édition Developer comme expliqué ci-dessous)

Édition développeur vs édition communautaire

L’édition développeur offre tout dans l’édition communautaire PLUS :

  1. Branch Analysis

Vous pouvez analyser toutes les branches de votre choix (plutôt que la branche principale uniquement), ce qui vous permet de détecter les problèmes beaucoup plus tôt, avant même que le code ne soit fusionné en amont avec les branches principales.

  1. Demande d’extraction Décoration  & Analyse

Cela vous permet d’intégrer SonarQube à vos outils de contrôle de version et d’ajouter l’analyse SonarQube et une porte de qualité à vos demandes d’extraction (ou demandes de fusion) dans l’interface de votre fournisseur ALM / DevOps, y compris GitLab, GitHub, Bitbucket et Azure DevOps.
Il vous aide à obtenir un retour rapide (des résultats de l’analyse) dans le tableau de bord.

Illustration: Pull (Merge) request decoration with SonarQube and GitLab
Illustration : Pull (Merge) décoration de requête avec SonarQube et GitLab. Cliquez pour agrandir

3. Analyse de la sécurité du code /Fonctionnalités

Analyse de sécurité avec une variété de règles pour chaque langue de code (notre feuille de calcul spécifie le nombre de règles dont vous disposez pour chaque langue)

Remarque : l’édition communautaire (gratuite) ne recherche pas les failles de sécurité

4. Fonctionnalités  SonarLint supplémentaires

Dans cette version, il est possible de configurer et de recevoir des notifications intelligentes (non disponible dans l’édition gratuite de la communauté),
donc si vous (en tant que développeur) utilisez SonarLint via votre IDE, vous pouvez configurer et recevoir des notifications.
Par exemple : Vous pouvez recevoir un message si vous n’avez pas passé les Quality Gates.

Remarque : SonarLint dans l’édition communautaire (gratuite) n’analyse pas les langues qui ne sont pas prises en charge dans la version gratuite (par exemple, C, C++ et autres, comme indiqué ci-dessous)

5. Prise en charge de plus de Languages:

L’Edition  Enterprise analyse également les langages de code suivants :

  1. Apex (of Salesforce)
  2. Cobol
  3. PL/1
  4. RPG
  5. VB 6 (Visual Basic)


L’Edition   Enterprise prend en charge 29 languages de code au total.

L’Edition  Enterprise  vs Edition  Developer

  1. Prise en charge de plus de langages

L’ Edition Enterprise  analyse également les langages de code suivants :

  1. Apex (of Salesforce)
  2. Cobol
  3. PL/1
  4. RPG
  5. VB 6 (Visual Basic)

L’ Edition Enterprise prend en charge 29 langages de code au total.

2. Portefeuille et reporting

Cette fonctionnalité est utile lorsque vous avez de nombreux projets. Il vous montre l’état des projets de haut niveau (ce qui est souvent nécessaire aux responsables du développement, aux chefs d’équipe, aux CTO, etc.).

Cela vous permet également d’agréger les projets par groupes afin de visualiser les informations et de les rendre beaucoup plus claires et lisibles.

Fonctionnalités pertinentes ici :

  • Agrégation de projets. Par exemple, vous pouvez décider quoi regrouper selon des critères que vous décidez, par ex. langage codé commun ; projets hérités; groupes ; équipes etc…
  • Vous pouvez automatiser le rapport et l’envoyer par e-mail (sous forme de rapport PDF)
Regarder une démo (2 min) :

 

3. Rapports de sécurité

Les rapports de sécurité sont disponibles uniquement dans l’édition Enterprise.
Ces rapports vous aident à obtenir des commentaires plus rapidement et à corriger les vulnérabilités de sécurité beaucoup plus rapidement.
SonarQube vous aide à voir votre posture de sécurité selon les normes OWASP Top 10 et CWE Top 25.

Par exemple:

Security Reports
Rapports de sécurité

4. Point d’accès de sécurité + vulnérabilités de sécurité

Les hotspots de sécurité sont des zones de code où SonarQube met en évidence les extraits de code suspects que les développeurs doivent vérifier (car il peut y avoir des vulnérabilités).

Voir un exemple (cliquez pour agrandir):

Security Hotspot
Security Hotspot

Cette fonctionnalité permet également d’améliorer les compétences de développement des développeurs et de les responsabiliser : au fur et à mesure qu’ils écrivent du code et découvrent les points chauds, ils découvrent les risques de sécurité et les meilleures pratiques pour les prévenir.

Les vulnérabilités de sécurité nécessitent une attention immédiate. SonarQube fournit une description détaillée et met en évidence le code pertinent, ce qui aide à comprendre quel est le risque dans le code donné.
Par exemple (cliquez pour agrandir):

Identify the problematic code
Identifiez le code problématique et fournissez une solution sur la façon de le résoudre (dans ce cas : utilisez une longueur de clé qui fournit suffisamment d’entropie contre les attaques par force brute. Pour l’algorithme RSA, elle doit être d’au moins 2 048 bits)

5. Traitement parallèle des rapports d’analyse

Vous permet de gérer les analyses et les rapports en parallèle. Ceci est utile si vous devez exécuter de nombreuses analyses et rapports.
Vous pouvez exécuter jusqu’à 10 nœuds de calcul en parallèle.

6.Licence  Staging

À l’aide de l’édition Enterprise, vous pouvez obtenir une licence supplémentaire pour configurer un environnement de test/de test.

Ceci est utile lorsque SonarQube fait partie d’un système critique et/ou utilise des plugins, et que vous souhaitez le tester (en tant qu’exécution “à sec”) avant de mettre à niveau le serveur réel (afin d’atténuer les risques et d’assurer un temps d’arrêt minimal et une mise à niveau réussie) .

Edition Data Center   vs Enterprise

L’Edition Data Center Edition vous offre une haute disponibilité pour les déploiements massifs (mondiaux).
La haute disponibilité est obtenue en ajoutant de la redondance à chaque nœud du système.

  1. Redondance des composants

  2. Résilience des données


  3. Évolutivité horizontale

FAQ

  • Q : Quel est le prix de SonarQube ?
    R : La tarification de SonarQube dépend de plusieurs paramètres :
    Type d’édition (comme expliqué ci-dessus dans l’article);
    Le nombre de lignes de code dont vous disposez
    Que vous preniez le support client
    Contactez-nous pour obtenir les prix et les devis exacts : sonarqube@almtoolbox.com ou appelez nous.
  • Q : J’utilise un langage de code pris en charge par l’édition communautaire (gratuite) (par exemple, Java ou C#). Cela signifie-t-il que j’obtiens toutes les fonctionnalités de SonarQube ?
    R : Non. Si vous utilisez l’édition gratuite, vous avez accès aux fonctionnalités disponibles uniquement dans l’édition communautaire gratuite.
    Par exemple : si vous utilisez Java (qui est disponible dans l’édition gratuite), vous n’obtiendrez pas d’analyse des règles de sécurité ; Aucune analyse de branche ; Aucun rapport, etc.

ALM-Toolbox est un distributeur officiel de SonarQube et offre du conseils, des licences SonarQube et SonarCloud, la mise en œuvre, la formation et aide les clients à intégrer SonarQube aux flux commerciaux et aux pipelines CI/CD.
Contactez-nous pour toute question, y compris les prix et les devis : sonarqube@almtoolbox.com ou appelez-nous : 866-503-1471 (USA/Canada) ou +33 (0)1 84 17 53 28

Liens utiles:

GitLab CI et l’integration Akeyless Vault

Vous pouvez utiliser la gestion des secrets Akeyless Vault dans GitLab et GitLab CI.

gitlab akeylesss logosLe code placé dans GitLab ou GitLab CI/CD nécessite des secrets afin d’exécuter correctement l’accès aux diverses ressources.
En intégrant GitLab CI à Akeyless Vault, vous n’auriez pas besoin de garder des secrets codés en dur dans le code GitLab
référentiel tels que les informations d’identification de nom d’utilisateur et de mot de passe, les clés API, les jetons et les certificats.

Vous voulez en savoir plus et comment nous pouvons vous aider:

ALM-Toolbox fournit des solutions ALM et DevSecOps et peut vous aider à protéger vos référentiels et vos environnements logiciels/cloud.

Contactez-nous : devsecops@almtoolbox.com   ou +33(0)1 84 17 53 28    

Utile:

Des vulnérabilités dans des applications tierces ont causé le vol de code de GitHub

github vulnerabilities

GitHub a signalé qu’un pirate exploitait apparemment une faille de sécurité ou
erreur humaine sur les applications tierces Travis et Heroku.

La faille de sécurité a exposé les jetons, permettant au pirate de voler les jetons et de les utiliser pour entrer dans des référentiels privés sur GitHub (y compris NPM)
il a donc réussi à télécharger ces référentiels – y compris tout le code et les informations qu’ils contiennent.

Cela signifie que : des vulnérabilités dans des applications tierces ont causé le vol de code de GitHub

Comment pouvez-vous empêcher un piratage similaire de votre dépôt git ?

Il existe plusieurs solutions différentes – et vous devez toutes les mettre en œuvre :

1) Réduire les autorisations

Si vous utilisez GitHub dans le cloud public (github.com) et donnez aux fournisseurs tiers un accès Oauth (le type de jetons volés) –
minimiser les autorisations que vous accordez à des tiers pour accéder à vos informations.

Vous devez également passer en revue les autorisations qu’ils demandent et vous assurer qu’elles ne sont pas trop larges et permissives.

Une erreur courante consiste à accorder des autorisations globales.

Il en va de même lors de l’octroi d’autorisations aux applications GitHub (qui génèrent également des jetons).

2) Ajouter des couches de protection

Vous devriez également envisager de passer à GitHub / GitLab Enterprise sur un serveur privé
(sur site / locataire unique / autogéré) derrière des couches de protection supplémentaires telles que pare-feu, SSO ou accès distant sécurisé,

ou utilisez uniquement des adresses IP autorisées (dans les éditions de cloud public), qui offrent des couches de protection supplémentaires contre les utilisateurs non autorisés du monde entier.

3) Protéger les secrets

Au-delà de cela – il est important que le fournisseur tiers stocke les jetons dans un outil de coffre-fort centralisé – ce qui aurait rendu très difficile pour les pirates d’obtenir les jetons (le rendant presque toujours inaccessible).

Si vous utilisez de tels tiers, vérifiez ou assurez-vous (dans le cadre de votre chaîne d’approvisionnement) qu’ils le stockent dans des outils Vault tels que Akeyless Vault (SaaS et une solution hybride) ou HashiCorp pour les réseaux fermés.

Il en va de même pour toute application qui accorde des autorisations d’accès à des tiers à l’aide de jetons.

ALM-Toolbox fournit des solutions ALM et DevSecOps et peut vous aider à protéger vos référentiels et vos environnements logiciels/cloud.

Contactez-nous : devsecops@almtoolbox.com   ou +33(0)1 84 17 53 28    

Témoignage client : pourquoi Stash Company a choisi les solutions Akeyless

Gavin Grisamore, the CISO of Stash (an American company from New York that deals with finance and investments) explains in the following recording why they chose the
Secrets Management and Secure Remote Access solutions of Akeyless,
and how it also helps them implement remote access for their employees and how it resolves their “Zero Trust” challenges.

Watch here (6 min.):

Gavin Grisamore, le CISO de Stash (une société américaine de New York qui s’occupe de la finance et des investissements) explique dans l’enregistrement suivant pourquoi ils ont choisi le
Les solutions de gestion des secrets et d’accès à distance sécurisé d’Akeyless,
et comment cela les aide également à mettre en œuvre l’accès à distance pour leurs employés et comment cela résout leurs défis « Zero Trust ».

Regardez ici (6 min.):

Nous avons ajouté des sous-titres  pour votre convenance.

Le texte intégral est disponibleici 

 

Nous représentons officiellement Akeyless en France et dans le monde, et nous sommes spécialisés dans les solutions de l’entreprise et DevSecOps.
Nous serons heureux de répondre à vos questions concernant les solutions Akeyless, et de vous aider à évaluer les produits et sa bonne implantation dans l’organisation.
Pour plus de détails contactez-nous : akeyless@almtoolbox.com ou par téléphone : +33 01 84 17 53 28

Lien utiles:

Sécurité et conformité du code à l’aide de GitLab

Outre le contrôle de version et CI/CD, GitLab propose également une variété de tests de sécurité sur votre code propriétaire (que vous développez) ou le code externe que vous utilisez (c’est-à-dire open source), ainsi que des capacités de conformité de code – pour vous aider à valider que vous faites correctement et l’utilisation légale des bibliothèques open source et des extraits de code que vous pouvez utiliser.

En fait, dans GitLab, vous pouvez également exécuter les tests sur le code lui-même, puis tout voir à l’aide d’un tableau de bord central qui montre tout organisé, et vous permet également d’exécuter certaines actions sur les résultats et les conclusions, et de partager les informations entre toutes les parties prenantes. (ou celui qui est autorisé à le regarder dépend des autorisations).

gitlab security dashboard
Tableau de bord de sécurité de GitLab (vue au niveau du groupe). Cliquez pour agrandir.

Les tests peuvent être exécutés à partir de GitLab CI (l’outil CI/CD intégré fourni avec GitLab) et peuvent également être connectés à d’autres outils CI tels que Jenkins.

Les tests peuvent être exécutés même si le code se trouve dans un autre outil SCM (tel que git, GitHub, Bitbucket, etc.).

Certains des tests sont dynamiques, ce qui signifie qu’ils ne s’exécutent pas sur le code lui-même mais sur l’application ou le site Web qui exécute le code.

Il peut être exécuté à la fois à partir d’un serveur GitLab privé (auto-hébergé) ou à partir du cloud / SaaS (par exemple, gitlab dot com).

Vous pouvez voir ici un aperçu des fonctionnalités d’analyse de sécurité pertinentes :

Remarque : la plupart des fonctionnalités ici nécessitent une licence GitLab Ultimate. Si vous avez besoin d’un devis, contactez-nous (nos coordonnées sont ci-dessous).

Fonction 

Description

Container Scanning Exécutez une analyse de sécurité pour vous assurer que les images Docker de votre application ne présentent aucune vulnérabilité connue dans l’environnement dans lequel votre code est expédié
Dependency List Identifiez les composants inclus dans votre projet en accédant à la liste des dépendances (également appelée nomenclature ou nomenclature), qui est souvent demandée par les équipes de sécurité et de conformité
Dependency Scanning Protégez votre application des vulnérabilités qui affectent les dépendances dynamiques en détectant automatiquement les bogues de sécurité bien connus dans vos bibliothèques incluses.
Static Application Security Testing (SAST) Recherche de code source vulnérable ou de bogues de sécurité bien connus dans les bibliothèques incluses par l’application. Les résultats sont ensuite affichés dans la demande de fusion et dans la vue Pipeline.
Ce test est compatible avec les langages de code suivants : C/C++, Apex, .NET, Java, Go, JS, Python, PHP, Swift, TypeScript, NodeJS, etc.
Dynamic Application Security Testing (DAST) Assurez-vous de ne pas être exposé aux vulnérabilités des applications Web telles que l’authentification interrompue, les scripts intersites ou l’injection SQL
Secret Detection Vérification des secrets et des informations d’identification commis involontairement dans le code git et l’historique
API Fuzzing Testez les API dans vos applications pour trouver les vulnérabilités et les bogues qui manquent aux processus d’assurance qualité traditionnels
Coverage Fuzzing Trouvez des failles de sécurité et des bugs dans votre application que les processus d’assurance qualité traditionnels manquent, prenant en charge
C/C++, Go, Java, JS, Python et d’autres langages de code.
Security Dashboard Gagnez en visibilité sur les correctifs prioritaires en identifiant et en suivant les tendances des risques de sécurité dans l’ensemble de votre organisation
License Compliance Vérifiez que les licences de vos dépendances sont compatibles avec votre application (par exemple, licences GPL, BSD, Apache, MIT, etc.), et approuvez-les ou refusez-les

ALM-Toolbox  est le représentant officiel de GitLab  dans de nombreux pays dont la France ,      Pour plus de détails, contactez-nous :+33(0)1 84 17 53 28,           devops.fr@almtoolbox.com

 

Last update: December 2021

 

Quels sont les défis dans l’auto-développement des capacités Vault Enterprise ?

Vault Enterprise (ainsi que Vault Self Managed et HCP Vault Cloud) sont actuellement à la pointe de la technologie de gestion des secrets.

Dans   la vidéo ici (que nous avons également traduite), Andy Manoske,  le chef de produit de Vault, est interviewé expliquant une partie de la complexité du produit et des coulisses, ainsi que ce que cela signifie d’essayer de développer par vous-même les capacités qui n’existent que dans les versions payantes de Vault.

 Regardez la vidéo sur Vault Enterprise (3 minutes) :

Nous avons ajouté des sous-titres en anglais à cette vidéo et l’avons traduite en français :

“La mise en œuvre de Vault, en tant que produit, était complexe. Bien qu’il soit facile à utiliser pour les utilisateurs, c’est grâce au fait que les aspects de gestion des clés et de sécurité ont été retirés de la responsabilité des utilisateurs et déplacés vers le côté architectural à travers lequel le produit a été construit.
Certaines fonctionnalités, telles que la réplication (à des fins de haute disponibilité) sont intrinsèquement complexes. Ils sont complexes à un tel niveau qu’ils nécessitent à la fois une connaissance approfondie et une expertise des problèmes de sécurité, ainsi que beaucoup de temps de développement (entre autres pour prouver que certaines choses sont bien sécurisées de haut niveau). une connaissance approfondie de Vault et de la création de systèmes sécurisés. Mais cela ne signifie pas que nous sommes des scientifiques de fusée.”

Nous ne sommes pas nécessairement plus intelligents que les autres, mais c’est vraiment en fonction du temps qu’il a fallu passer – et nous l’avons fait. Par exemple, en ce qui concerne la réplication, nous avons investi beaucoup de temps, ce qui vous aide à vous assurer que personne ne piratera le système ou ne le brisera en utilisant un vecteur d’attaque dérivé du fait qu’il s’agit d’une réplication.
En tant qu’entreprise, il nous a fallu deux ans et demi pour créer une solution de réplication, et cela impliquait de travailler avec ceux qui ont développé le produit de base Vault. On peut donc dire que payer pour Vault Enterprise permet d’économiser au moins deux ans et demi d’auto-développement.

Vault, en coulisses, est un produit complexe à développer

La deuxième caractéristique d’un produit que les utilisateurs rencontrent est en fait une question de complexité. Ce que je veux dire, c’est que Vault repousse non seulement les limites de la technologie, mais innove également du côté scientifique de la façon dont nous protégeons les données.
Des fonctionnalités telles que la réplication, par exemple, sont au premier plan de toute l’informatique décentralisée. Ainsi, lorsque nous créons des fonctionnalités telles que la réplication ou que nous créons des outils pour lesquels Vault doit désormais fonctionner dans un environnement global et pourtant de manière très sécurisée, nous le faisons d’une manière qui nécessite une compréhension très profonde et intime de problèmes tels que l’informatique distribuée et sécurisée. , cryptographie, dans certains cas avec des langages formels et des méthodes formelles. Honnêtement, ce sont des domaines qui sont très difficiles à comprendre. Non seulement à cause de la complexité du sujet, mais aussi parce qu’il est rare de trouver des personnes qui ont des compétences en la matière.

Heureusement, nous avons des ingénieurs chez HashiCorp qui ont une connaissance approfondie de certains de ces domaines théoriques de l’informatique et des mathématiques appliquées. Mais leur application est nécessaire pour vraiment comprendre et surmonter les défis liés à la réplication, au transit, à de nombreuses fonctionnalités de Vault et en particulier à Vault Enterprise. »

hashicorp vault enterprise

Quelques  détails sur Vault vous ignoriez peut-être :

  • Le produit est en développement depuis 2015 Open source basé sur Vault
  • Le produit Vault est actuellement un standard de facto dans le domaine de la gestion des secrets et de la protection des informations sensibles.
  • Le produit a une version gratuite ainsi que des versions Entreprise qui peuvent être auto-installées (même dans le cloud),Et incluez toutes les fonctionnalités de la version gratuite, en plus du support technique du fabricant ainsi que des fonctionnalités supplémentaires telles que la réplication, les espaces de noms, la haute disponibilité, etc.
  • Des milliers d’entreprises à travers le monde utilisent Vault Enterprise (et bien sûr en France aussi )

 

ALMtoolbox est le distributeur officiel des produits Vault et HashiCorp en France (et dans d’autres pays), et se spécialise également dans la fourniture de services supplémentaires à Vault, notamment:

  • Choix de license  Enterprise selon vos besoins  (achat sur commande avaec paiements)
  • Mises à niveau de la version sécurisée vers Vault
  • HashiCorp Vault Formations
  • Conception de système Vault et son implémentation  dans les serveurs de votre  organisation, dans un cloud privé ou public (comme Kubernetes, AWS, Azure, Google Cloud et plus)
  • Vault Managed Services
  • Intégration avec des outils complémentaires, tels que Terraform, Consul, Kubernetes, Nomad, Sentinel, git, GitLab, Chef, Puppet, Jenkins, Spotinst, Docker, Artifactory et plus Services gérés et centre de support – y compris la possibilité de SLA – même pour de courtes périodes.

Pour  nous contacter ALMtoolbox :
Tel 01 84 17 53 28, hashicorp.fr@almtoolbox.com

 

Liens utiles:

Vault HCP Cloud VS Vault Enterprise

Comme vous le savez, il y a quelques mois, HashiCorp a commencé à proposer le produit populaire Vault en tant que service géré par eux dans le cloud.
(Sous le nom “Vault HCP” ou Vault Cloud), et officiellement en tant que version “GA” (alors que jusque-là, il n’était proposé qu’en tant que on premise).

Récemment, suite aux questions  des personnes  qui se sont interrogées sur les différences entre les deux , nous avons examiné la question en profondeur, et voici les conclusions :

Au moment  ou nous écrivons  ces lignes, le produit Vault Cloud géré par HashiCorp offre un ensemble de fonctionnalités de base équivalent à la plate-forme Enterprise de base uniquement, de sorte que les fonctionnalités actuellement proposées sont :

Espaces de noms, reprise après sinistre, surveillance de la télémétrie et support client (support fabricant).

C’est sans les capacités de gouvernance et de politique offertes dans la version Entreprise ;

Sans capacités multi-centre de données et d’échelle

Et sans protection avancée des données.

Vous pouvez obtenir chez nous un tableau détaillé de toutes les capacités de l’entreprise,
et y trouver ce qui n’est pas dans Vault HCP Cloud – les détails ci-dessous.

Quel signification ? Et quelles sont les options qui s’offrent à nous?

Vous avez en fait 3 options  lorsqu”il s’agit de  la mise en œuvre de Vault :

  1. Vault on prem  dans votre gestion auto-hébergée – cela peut être fait avec le produit open source et avec les versions Enterprise (en achetant une licence appropriée).
  2. Vault Cloud HCP en tant que service géré de HashiCorp (sous les restrictions énumérées ci-dessus)
  3. Vault est géré pour vous par une société externe (comme nous).Vous pouvez utiliser le produit gratuit ou la version Entreprise afin de profiter de toutes les fonctionnalités existantes.

Nous sommes les distributeurs officiels de HashiCorp en France (et dans d’autres pays) offrant un support et la vente de licences pour les 3 options ci-dessus – vous pouvez nous contacter ALMtoolbox :

Tel 01 84 17 53 28, devo ps.fr@almtoolbox.com

 

 

GitLab 13.9: une image vaut mille mots

Découvrez comment les nouvelles fonctionnalités sont réparties entre les étapes et les fonctionnalités

GitLab 13.9 est sorti  il y a quelques jours avec des dizaines de nouvelles fonctionnalités.

Comme nous l’avons initialement  fait  il y a un mois, nous avons publié un diagramme mis à jour de toutes les fonctionnalités de GitLab séparées par étapes (axe Y) et éditions (Free / Premium / Ultimate).

On nous pose souvent des questions sur les avantages des versions gratuites et payantes de GitLab, nous avons donc récemment analysé toutes les fonctionnalités de GitLab pour quantifier et visualiser la valeur de GitLab Free, Premium et Ultimate.

On dit qu’une image vaut mille mots – vous pouvez donc la voir maintenant (cliquez pour agrandir):

gitlab features premium ultimate all features 13.9
L’axe Y reflète les 11 étapes existantes (Gérer, Planifier, Créer, etc.). L’axe X reflète le pourcentage pondéré (normalisé et proportionnel à 100% pour chaque étape)

 

Ce que nous voyons ici:

Tout d’abord, nous avons pris la liste de toutes les fonctionnalités existantes dans GitLab (actuellement, à partir de la version 13.9 publiée le 22/02/2021, il y en a 494 au total).

Ensuite, nous avons pris les 11 étapes du cycle de vie DevOps existant dans GitLab (tel que défini par GitLab dans le diagramme ci-dessous **), et pour chaque étape, nous avons vérifié le nombre de ses fonctionnalités dans la version gratuite (les zones vertes dans le graphique au dessus); combien en Premium (en bleu) et combien en Ultimate (en jaune).

Étant donné que le nombre de fonctionnalités varie d’une étape à l’autre, nous l’avons normalisé pour le voir en pourcentages afin qu’ils puissent être affichés dans un graphique, l’un au-dessus de l’autre.

Et  voici le résultat  (ci-dessus).

Comme mentionné, l’axe Y reflète les 11 étapes existantes (Gérer, Planifier, Créer, etc.).

L’axe X reflète le pourcentage pondéré (normalisé et proportionnel à 100% pour chaque étape).

Details:

  • Certaines étapes sont entièrement disponibles lors de l’utilisation de la version Premium (c’est-à-dire que 100% des fonctionnalités sont à l’intérieur, car les fonctionnalités Premium (en bleu) viennent en plus des fonctionnalités gratuites (en vert). Ce sont les étapes suivantes:
    • Créer (Contrôle de version: créer, afficher et gérer le code et les données de projet via de puissants outils de branchement)
    • Verity (CI: maintenir des normes de qualité strictes pour le code de production avec des tests et des rapports automatiques)
    • Package (artefacts: créez une chaîne logistique logicielle cohérente et dépendante avec une gestion intégrée des packages)
    • Activation (recherche globale; géoréplication, DR, installations cloud natives et omnibus)

Autrement dit, la version Enterprise Premium couvre 100% des fonctionnalités dans 4 domaines du cycle de vie DevOps

  • En moyenne, environ 90% des fonctionnalités totales de GitLab existent dans Free + Premium.
  • Vous pouvez voir que ceux qui sont intéressés par la vaste collection de tests de sécurité disponibles dans GitLab devraient choisir la version Ultimate (et vous pouvez en savoir plus ici).

Notes complémentaires:

  • La version Premium est disponible en auto-hébergé (comme votre machine privée) ou dans le cloud public gitlab.com (la version anciennement appelée “Gold”). L’exemple ici fait référence à Auto-hébergé. Il est important de se rappeler que dans le cloud gitlab.com, certaines des fonctionnalités ci-dessus n’existent pas.
  • ** Les étapes DevOps selon GitLab:

gitlab devops lifecycle

Pour toute question sur  GitLab,les licenses et les differences   un devis ou même une license d’évaluation, contactez nous :
EGDS France – ALMtoolbox : 01 84 17 53 28, devops.fr@almtoolbox.com

 

Related Links: