NoLimitSecu
Sécurisation de la chaîne d’approvisionnement logicielle
Apr 6, 2025
Christophe Tafani-Dereeper, expert en sécurité chez Datadog, partage son expérience sur la sécurisation de la chaîne d'approvisionnement logicielle. Il aborde les risques posés par les dépendances et les scripts de construction, ainsi que des attaques récentes sur des outils comme GitHub Actions. L'importance des artefacts signés est également soulignée. Il compare les outils SEMGREP et CodeQL, et discute des défis liés à l'IA dans le développement. Enfin, des solutions innovantes pour renforcer la sécurité des paquets NPM sont proposées.
37:46
Episode guests
AI Summary
AI Chapters
Episode notes
Podcast summary created with Snipd AI
Quick takeaways
- La sécurisation de la chaîne d'approvisionnement logicielle nécessite des protections adaptées à chaque étape pour contrer les vulnérabilités variées.
- L'adoption de modèles de maturité en sécurité aide les entreprises à structurer leurs pratiques de sécurité au fur et à mesure de l'évolution du processus.
Deep dives
Sécurité des chaînes d'approvisionnement logicielle
La discussion se concentre sur la sécurité des chaînes d'approvisionnement logicielle, en mettant en lumière les différentes étapes par lesquelles le code passe avant d'être distribué à l'utilisateur final. Chaque phase, depuis l'écriture du code jusqu'à sa mise en production, comporte des vulnérabilités potentielles. Il est essentiel de comprendre comment le code qu'un développeur écrit peut être exposé à des attaques, notamment à travers des outils tels que GitHub ou des pipelines d'intégration continue. Les protections doivent être adaptées à chaque étape de la chaîne, car les types d'attaques et les vecteurs malveillants peuvent grandement varier.
Remember Everything You Learn from Podcasts
Save insights instantly, chat with episodes, and build lasting knowledge - all powered by AI.
