Post on 29-Jan-2018
transcript
Présentation de l’ Ecosystème Nexus/Devops
Meetup Paris 13 Juin 2017
Karim Djaafar : Directeur Technique de Jasmine Conseil
Selim Bedrani: Regional Sales Director EMEA South & North Africa
Jasmine Conseil 2017 – Tous droits réservés
Jasmine Conseil 2016 – Tous droits réservés
1. Présentation de Sonatype et de son
partenaire Jasmine Conseil
2. Gestion de la chaine d’approvisionnement
logicielle: Constats & Evolutions
3. Présentation de « l’écosystème » Nexus
4. Présentation de Nexus repository Pro et
Intégration avec Nexus IQ
5. Démo
6. Questions & Réponses
Agenda
2
3Jasmine Conseil 2017 – Tous droits réservés
• Selim BEDRANI• Regional Sales Director
EMEA South & Africa of Sonatype
• « Alla ! Madrid ! »• « Asmaa Gabriella »
4Jasmine Conseil 2017 – Tous droits réservés
5
• Olivier ROUTIER• Head of CI DevOps at EDF
• « Eating, Drinking, DevOpsing »
Jasmine Conseil 2017 – Tous droits réservés
• Karim DJAAFAR• +20 ans d’expérience projet et dans le conseil et
l’accompagnement des projets et des architecturesJAVA/JEE
• Directeur technique de la SSLL Jasmine Conseil• « The Coding Evangelist …»
6Jasmine Conseil 2017 – Tous droits réservés
Qui sommes nous
7Jasmine Conseil 2017 – Tous droits réservés
Nos axes d’expertise avec nos partenaires clés
Devops/InfrastructurePerformances &
Développement Java/EE
Integration & APIs
WebMobility
8Jasmine Conseil 2017 – Tous droits réservés
9Jasmine Conseil 2017 – Tous droits réservés
De nos jours, des milliards decomposants logiciels sont ré)utiliséspar les projets modernes dedéveloppement, pour la plupartd’origine Open Source80-90% du code des applicationsmodernes provienned’assemblage de composants(frameworks, code utilitaire…)
10Jasmine Conseil 2017 – Tous droits réservés
Fournisseurs
Projets Open Source
Entrepôts
Dépôts de composants (Maven, npm…)
Fabricants
Equipes de développement
logiciel
Produits Finis
Application déployée
Une gestion optimale et complète de la chaine d’approvisionnement logicielle
11Jasmine Conseil 2017 – Tous droits réservés
Jasmine Conseil 2016 – Tous droits réservés 12
• L’utilisation de JavaScript,de Node.js et npm est encroissance explosive
• Plus de deux fois parrapport au taux de touteautre plate-forme logicielleaujourd'hui
Source modulecounts.com
13Jasmine Conseil 2017 – Tous droits réservés
14Jasmine Conseil 2017 – Tous droits réservés
Source, Sonatype, https://dzone.com/articles/1-in-16-java-components-have-security-defects
15Jasmine Conseil 2017 – Tous droits réservés
ENTR
EPOT
SPR
ODUI
TS FI
NIS
FABRICANTS
6.1 % des composantstéléchargés sont vulnérables.
5.6 % des composantstéléchargés dans les dépôtssont vulnérables.
6.8% des composantsembarques dans lesapplicationssont vulnérables.
16Jasmine Conseil 2017 – Tous droits réservés
ENTR
EPOT
SPR
ODUI
TS FI
NIS
FABRICANTS
87% des inclusions Handlebarssont connus pour êtrevulnérables.
37% des inclusions jQuery sontconnus pour être vulnérables.
40% des inclusions AngularJS sontconnus pour être vulnérableshttps://docs.angularjs.org/guide/security .
Source, http://www.securitynewspaper.com/2017/03/10/third-websites-use-outdated-vulnerable-javascript-libraries/
17Jasmine Conseil 2017 – Tous droits réservés
Source: 2014 Sonatype Open Source Development and Application Security Survey, and Sonatype’s 2017 DevSecOps Community survey
18Jasmine Conseil 2017 – Tous droits réservés
Question: Est ce que vous possédez une politique de licence dédiée a la gestion de vos composants d’origine Open source ?
• Le plus souvent, la politique open source est écrite par le département Systèmesd'information et appliquée aveuglément dans une lettre, mais pas dans l'esprit : unebonne politique open source est mieux écrite et définie par ceux qui sont touchés parles ingénieurs de terrain et les équipes de distribution - en tant qu’acteurs principaux,les services informatiques et juridiques restant des acteurs secondaires.
• Acceptez la réalité des logiciels open source et son utilisation, et regardez celacomme un facilitateur. De nombreuses organisations voient l’Open Source avec unevue trop pessimiste plutôt que comme un facilitateur commercial. La source libre estmaintenant une réalité. Les composants Open Source forment des élémentsessentiels de l'architecture des solutions aujourd'hui.
• Reconnaître les différentes utilisations pour les programmes et les outils de l’opensource : toutes les utilisations des logiciels libres ne sont pas égales.
19Jasmine Conseil 2017 – Tous droits réservés
20 Jasmine Conseil 2017 – Tous droits réservés
21Jasmine Conseil 2017 – Tous droits réservés
• Un référentiel centralisépour gérer tous lesformats courants decomposants.
• Stockage et distributionde Maven/Java, npm,NuGet,RubyGems,Docker, RPMs
• Repository Health Checkpermettant une veilleconstante descomposants entrantdans vos dépôts.
• Audit des composants en terme de vulnérabilités, du support du type de licence.
• Personnalisation desrègles qui permet dedécider quels sont lescomposants valides etceux qui ne le sont pas.
• Intégration dans vos outilsde développement (IDE,CI, …) favoris uneinspection intelligente descomposants de votrechained’approvisionnementlogicielle
• Empêche lescomposants indésirablesde s’introduire dansvotre chained’approvisionnementlogicielle.
• Met en place des règlesde filtrage pourempêcher certainscomposants indésirablesde s’introduire dansvotre système mais ausside sortir.
Nexus Repository Nexus Firewall Nexus Lifecycle Nexus Auditor
Automatisation de la chaine d’approvisionnement logicielle
Jasmine Conseil 2017 – Tous droits réservés
Jasmine Conseil 2016 – Tous droits réservés
24Jasmine Conseil 2017 – Tous droits réservés
25Jasmine Conseil 2017 – Tous droits réservés
• Support du « Repository Health Check » : connaître les problèmes de licence ou de sécurité affectant son composant dans son dépôt (serveur Nexus IQ)
• Recherche de n’importe quel composant, quel que soit le dépôt ou il est stocké
• Support des dépôts Raw : possibilité d’héberger n’importe quel type de contenu, par exemple des pages Web comme de la documentation Maven
• REST et l’API d’intégration pour faciliter l’administration (gestion des utilisateurs, des dépôts…) et le provisionnement d’autres taches
• Installation facilitée pour une installation personnalisée, ou via une image docker
• Nexus Repository Version 3 supporte de nouveaux dépôts comme Docker et Bower en plus des packages habituels comme JAR/WAR/EAR supportes par les dépôts Maven
• Support de la communauté .Net avec le support des dépôts NuGet
26Jasmine Conseil 2017 – Tous droits réservés
27Jasmine Conseil 2017 – Tous droits réservés
28Jasmine Conseil 2017 – Tous droits réservés
• Commercial use• Can distribute• Can modify• Include copyright
• Include license*• No liability*• No trademark
use*
• Disclose source of modified components
• Unspecified • Disclose Source with distribution
• Disclose Source to consumers of service
• Customer defined
Liberal Weak Copyleft Non Standard Copyleft Banned
Least Restrictive = Least Risk Most Restrictive = Most Risk
+ + + +
CONFIDENTIAL - Copyright 2017 Sonatype, Inc. (Content may not be distributed, reused, modified, or transmitted)
29Jasmine Conseil 2017 – Tous droits réservés
Les 5 groupes de licence libre par ordre croissant de restriction :
30
pour l’intégration de tout votre Un point d’entrée unique écosystème de développement
Jasmine Conseil 2017 – Tous droits réservés
31
Nexus Life Cycle, le catalyseur des bonnes pratiques logicielles : l’Infrastructure en pratique
Jasmine Conseil 2017 – Tous droits réservés
Gestionnaire de source
Build Dépôt Déploiement
Développeur
Référentiel des composants publics
Intégration continue Livraison continue
POLICY ENFORCEMENT TRUSTED COMPONENTS POLICY ENFORCEMENT
Analyse des vulnérabilités
32Jasmine Conseil 2017 – Tous droits réservés
33Jasmine Conseil 2017 – Tous droits réservés