Présentation de l’ Ecosystème Nexus/Devops

Meetup Paris 13 Juin 2017

Karim Djaafar : Directeur Technique de Jasmine Conseil

Selim Bedrani: Regional Sales Director EMEA South & North Africa

Jasmine Conseil 2017 – Tous droits réservés

Jasmine Conseil 2016 – Tous droits réservés

1. Présentation de Sonatype et de son

partenaire Jasmine Conseil

2. Gestion de la chaine d’approvisionnement

logicielle: Constats & Evolutions

3. Présentation de « l’écosystème » Nexus

4. Présentation de Nexus repository Pro et

Intégration avec Nexus IQ

5. Démo

6. Questions & Réponses

Agenda

2

3Jasmine Conseil 2017 – Tous droits réservés

• Selim BEDRANI• Regional Sales Director

EMEA South & Africa of Sonatype

• « Alla ! Madrid ! »• « Asmaa Gabriella »

4Jasmine Conseil 2017 – Tous droits réservés

5

• Olivier ROUTIER• Head of CI DevOps at EDF

• « Eating, Drinking, DevOpsing »

Jasmine Conseil 2017 – Tous droits réservés

• Karim DJAAFAR• +20 ans d’expérience projet et dans le conseil et

l’accompagnement des projets et des architecturesJAVA/JEE

• Directeur technique de la SSLL Jasmine Conseil• « The Coding Evangelist …»

6Jasmine Conseil 2017 – Tous droits réservés

Qui sommes nous

7Jasmine Conseil 2017 – Tous droits réservés

Nos axes d’expertise avec nos partenaires clés

Devops/InfrastructurePerformances &

Développement Java/EE

Integration & APIs

WebMobility

8Jasmine Conseil 2017 – Tous droits réservés

9Jasmine Conseil 2017 – Tous droits réservés

De nos jours, des milliards decomposants logiciels sont ré)utiliséspar les projets modernes dedéveloppement, pour la plupartd’origine Open Source80-90% du code des applicationsmodernes provienned’assemblage de composants(frameworks, code utilitaire…)

10Jasmine Conseil 2017 – Tous droits réservés

Fournisseurs

Projets Open Source

Entrepôts

Dépôts de composants (Maven, npm…)

Fabricants

Equipes de développement

logiciel

Produits Finis

Application déployée

Une gestion optimale et complète de la chaine d’approvisionnement logicielle

11Jasmine Conseil 2017 – Tous droits réservés

Jasmine Conseil 2016 – Tous droits réservés 12

• L’utilisation de JavaScript,de Node.js et npm est encroissance explosive

• Plus de deux fois parrapport au taux de touteautre plate-forme logicielleaujourd'hui

Source modulecounts.com

13Jasmine Conseil 2017 – Tous droits réservés

14Jasmine Conseil 2017 – Tous droits réservés

Source, Sonatype, https://dzone.com/articles/1-in-16-java-components-have-security-defects

15Jasmine Conseil 2017 – Tous droits réservés

ENTR

EPOT

SPR

ODUI

TS FI

NIS

FABRICANTS

6.1 % des composantstéléchargés sont vulnérables.

5.6 % des composantstéléchargés dans les dépôtssont vulnérables.

6.8% des composantsembarques dans lesapplicationssont vulnérables.

16Jasmine Conseil 2017 – Tous droits réservés

ENTR

EPOT

SPR

ODUI

TS FI

NIS

FABRICANTS

87% des inclusions Handlebarssont connus pour êtrevulnérables.

37% des inclusions jQuery sontconnus pour être vulnérables.

40% des inclusions AngularJS sontconnus pour être vulnérableshttps://docs.angularjs.org/guide/security .

Source, http://www.securitynewspaper.com/2017/03/10/third-websites-use-outdated-vulnerable-javascript-libraries/

17Jasmine Conseil 2017 – Tous droits réservés

Source: 2014 Sonatype Open Source Development and Application Security Survey, and Sonatype’s 2017 DevSecOps Community survey

18Jasmine Conseil 2017 – Tous droits réservés

Question: Est ce que vous possédez une politique de licence dédiée a la gestion de vos composants d’origine Open source ?

• Le plus souvent, la politique open source est écrite par le département Systèmesd'information et appliquée aveuglément dans une lettre, mais pas dans l'esprit : unebonne politique open source est mieux écrite et définie par ceux qui sont touchés parles ingénieurs de terrain et les équipes de distribution - en tant qu’acteurs principaux,les services informatiques et juridiques restant des acteurs secondaires.

• Acceptez la réalité des logiciels open source et son utilisation, et regardez celacomme un facilitateur. De nombreuses organisations voient l’Open Source avec unevue trop pessimiste plutôt que comme un facilitateur commercial. La source libre estmaintenant une réalité. Les composants Open Source forment des élémentsessentiels de l'architecture des solutions aujourd'hui.

• Reconnaître les différentes utilisations pour les programmes et les outils de l’opensource : toutes les utilisations des logiciels libres ne sont pas égales.

19Jasmine Conseil 2017 – Tous droits réservés

20 Jasmine Conseil 2017 – Tous droits réservés

21Jasmine Conseil 2017 – Tous droits réservés

• Un référentiel centralisépour gérer tous lesformats courants decomposants.

• Stockage et distributionde Maven/Java, npm,NuGet,RubyGems,Docker, RPMs

• Repository Health Checkpermettant une veilleconstante descomposants entrantdans vos dépôts.

• Audit des composants en terme de vulnérabilités, du support du type de licence.

• Personnalisation desrègles qui permet dedécider quels sont lescomposants valides etceux qui ne le sont pas.

• Intégration dans vos outilsde développement (IDE,CI, …) favoris uneinspection intelligente descomposants de votrechained’approvisionnementlogicielle

• Empêche lescomposants indésirablesde s’introduire dansvotre chained’approvisionnementlogicielle.

• Met en place des règlesde filtrage pourempêcher certainscomposants indésirablesde s’introduire dansvotre système mais ausside sortir.

Nexus Repository Nexus Firewall Nexus Lifecycle Nexus Auditor

Automatisation de la chaine d’approvisionnement logicielle

Jasmine Conseil 2017 – Tous droits réservés

Jasmine Conseil 2016 – Tous droits réservés

24Jasmine Conseil 2017 – Tous droits réservés

25Jasmine Conseil 2017 – Tous droits réservés

• Support du « Repository Health Check » : connaître les problèmes de licence ou de sécurité affectant son composant dans son dépôt (serveur Nexus IQ)

• Recherche de n’importe quel composant, quel que soit le dépôt ou il est stocké

• Support des dépôts Raw : possibilité d’héberger n’importe quel type de contenu, par exemple des pages Web comme de la documentation Maven

• REST et l’API d’intégration pour faciliter l’administration (gestion des utilisateurs, des dépôts…) et le provisionnement d’autres taches

• Installation facilitée pour une installation personnalisée, ou via une image docker

• Nexus Repository Version 3 supporte de nouveaux dépôts comme Docker et Bower en plus des packages habituels comme JAR/WAR/EAR supportes par les dépôts Maven

• Support de la communauté .Net avec le support des dépôts NuGet

26Jasmine Conseil 2017 – Tous droits réservés

27Jasmine Conseil 2017 – Tous droits réservés

28Jasmine Conseil 2017 – Tous droits réservés

• Commercial use• Can distribute• Can modify• Include copyright

• Include license*• No liability*• No trademark

use*

• Disclose source of modified components

• Unspecified • Disclose Source with distribution

• Disclose Source to consumers of service

• Customer defined

Liberal Weak Copyleft Non Standard Copyleft Banned

Least Restrictive = Least Risk Most Restrictive = Most Risk

+ + + +

CONFIDENTIAL - Copyright 2017 Sonatype, Inc. (Content may not be distributed, reused, modified, or transmitted)

29Jasmine Conseil 2017 – Tous droits réservés

Les 5 groupes de licence libre par ordre croissant de restriction :

30

pour l’intégration de tout votre Un point d’entrée unique écosystème de développement

Jasmine Conseil 2017 – Tous droits réservés

31

Nexus Life Cycle, le catalyseur des bonnes pratiques logicielles : l’Infrastructure en pratique

Jasmine Conseil 2017 – Tous droits réservés

Gestionnaire de source

Build Dépôt Déploiement

Développeur

Référentiel des composants publics

Intégration continue Livraison continue

POLICY ENFORCEMENT TRUSTED COMPONENTS POLICY ENFORCEMENT

Analyse des vulnérabilités

32Jasmine Conseil 2017 – Tous droits réservés

33Jasmine Conseil 2017 – Tous droits réservés