Analyse de la composition logicielle
Ce module explique les principes fondamentaux de l’analyse de composition logicielle (SCA), l’inspection et la validation des bases de code pour la conformité, l’implémentation de GitHub Dependabot pour la détection automatisée des vulnérabilités, l’intégration d’outils SCA tels que Mend (WhiteSource), Snyk et OWASP Dependency-Check dans Azure Pipelines, l’automatisation de l’analyse des images conteneur et l’interprétation des alertes de sécurité à partir d’outils d’analyse.
Objectifs d’apprentissage
À la fin de ce module, vous pouvez :
Comprendre l’analyse de composition logicielle (SCA) et pourquoi il est essentiel de gérer les dépendances open source en toute sécurité.
Inspectez et validez les bases de code pour la conformité des licences et les vulnérabilités de sécurité à l’aide d’outils automatisés.
Implémentez GitHub Dependabot pour détecter automatiquement les dépendances vulnérables et créer des demandes de tirage pour les mises à jour de sécurité.
Intégrez des vérifications d’analyse de composition logicielle dans Azure Pipelines pour analyser les dépendances pendant les processus de génération et de déploiement.
Examinez et configurez les outils SCA, notamment Mend (WhiteSource), Snyk, OWASP Dependency-Check et les sources en amont d’Azure Artifacts.
Automatisez l’analyse des images conteneur pour détecter les vulnérabilités dans les images de base et les dépendances d’application.
Interpréter les alertes des outils d’analyse et hiérarchiser la correction en fonction de la gravité, de l’exploitabilité et de l’impact métier.
Prérequis
Aucun
Prise en main d’Azure
Choisissez le compte Azure qui vous convient. Payez à l’utilisation ou essayez Azure gratuitement pendant jusqu’à 30 jours. S’inscrire.