Workshop : GitHub Actions 101 - Creating a DevSecOps Pipeline

De plus en plus, les organisations utilisent une méthodologie DevOps pour optimiser le développement de logiciels. L’un des principaux outils utilisés dans ce processus est un outil d’intégration continue (CI) qui automatise les modifications du code de plusieurs développeurs travaillant sur le même projet. En 2019, GitHub a publié son propre outil CI appelé GitHub Actions. Selon GitHub, GitHub Actions aide à automatiser les tâches au sein du cycle de vie du développement de logiciels, et il est de plus en plus adopté par les développeurs.

Cet atelier démontrera le fonctionnement de GitHub Actions et montrera des outils de sécurité pour protéger les applications contre les attaquants. Tout d’abord, nous plongerons profondément dans les Actions, le langage, les runners, et les serveurs fournis par GitHub pour exécuter les actions. Ensuite, nous montrerons comment exécuter SAST, DAST et SCA à l’aide d’outils gratuits dans le pipeline en utilisant simplement les actions GitHub. Nous mettrons en place des actions pour chaque outil afin d’analyser notre application à la recherche de vulnérabilités de sécurité à chaque demande d’extraction. Nous tirerons parti de SonarCloud pour SAST, OWASP ZAP pour DAST et Snyk pour SCA.

Outline:

  1. GitHub Actions
  2. What they are
  3. Main components
  4. How they work
  5. Self-runners
  6. Creating your first action
  7. SAST in CI/CD
  8. Benefits and considerations
  9. Semgrep
  10. CodeQL
  11. Integrating with GitHub Action
  12. DAST in CI/CD
  13. Main concerns
  14. OWASP ZAP
  15. Nuclei
  16. Integrating GitHub Action
  17. SCA in CI/CD
  18. Advantages and when to run
  19. Dependabot
  20. Dependency Check
  21. Integrating with GitHub Action

Bio: En tant que spécialiste de la sécurité informatique, Magno Logan est spécialisé dans divers sujets, y compris infonuagique, containerisation, sécurité applicative, modélisation des menaces et sécurité de Kubernetes. Il possède plusieurs certifications internationales et présente des conférences sur la sécurité informatique dans plusieurs pays, tels que Canada, États-Unis, Brésil et d’autres pays en Europe. En plus de ses réalisations professionnelles, Magno est le fondateur de la conférence de sécurité TI JampaSec et aussi du chapitre OWASP Paraiba (Brésil). Il a été déjà Ambassadeur Snyk et membre du CNCF Security TAG, Kubernetes SIG Security et OpenSSF.

Places limitées

Inscription

Dès l’inscription à l’atelier, tous les participants sont les bienvenus. Veuillez noter qu’il sera offert uniquement en anglais.