DevSecOps
Créez des applications sécurisées sur une plateforme fiable. Incorporez la sécurité dans votre workflow de développement et encouragez la collaboration entre les développeurs, les professionnels de la sécurité et les opérateurs informatiques.
Fournissez des applications innovantes en toute sécurité à la vitesse DevOps
Alors que de nouveaux types d’attaques de cybersécurité progressent, renforcez votre environnement de développement et votre chaîne d’approvisionnement logicielle en intégrant la sécurité au début du cycle de développement. L’approche DevSecOps combine les produits et services GitHub et Azure pour promouvoir la collaboration entre les équipes DevOps et SecOps. Utilisez la solution complète pour fournir des applications plus sécurisées et innovantes à la vitesse DevOps.
Protégez votre environnement en faisant en sorte que tous les membres de votre organisation créent et exploitent des applications sécurisées. La sécurité "Shift Left" concerne l’intégration de la sécurité dans les premières étapes du développement, de la planification au développement, à l’empaquetage et au déploiement. Détectez les failles de sécurité potentielles automatiquement au moment de la révision du code en intégrant la sécurité dans le workflow de développement avec Microsoft Visual Studio et GitHub.
Contrôlez mieux votre chaîne d’approvisionnement logicielle lorsque vous utilisez du code tiers et des logiciels open source pour vos applications. Développez en toute confiance avec les produits et services Azure et GitHub qui inspectent votre code en production et tracez les composants tiers en cours d’utilisation pour renforcer la sécurité.
Utilisez un ensemble complet de services Azure qui rendent votre application plus pratique et plus sûre. Exécutez votre code sur des plateformes d’applications managées, notamment Kubernetes, et utilisez des services de confiance pour gérer vos clés, jetons et secrets de façon plus sécurisée. Renforcez la confiance dans la sécurité de votre environnement avec des stratégies. Garantissez des opérations homogènes et sécurisées grâce à des solutions de supervision en temps réel pour vos applications et votre infrastructure.
Protégez votre application, votre code et votre infrastructure avec un contrôle d’accès strict. Azure offre des services d’identité performants aux utilisateurs internes de votre organisation et aux consommateurs externes qui accèdent à vos applications. Utilisez les outils et la plateforme d’identité DevSecOps pour sécuriser l’accès à votre code sur GitHub, gérer des autorisations granulaires pour les ressources Azure et offrir des services d’authentification et d’autorisation pour vos applications.
Tirez parti d’un ensemble complet de produits et de services, ou choisissez uniquement ceux dont vous avez besoin
Bénéficiez de fonctionnalités avancées qui vous aident à sécuriser le code, les dépendances et les secrets de votre application, disponibles pour GitHub et Azure DevOps
- Identifiez les vulnérabilités dans votre code avec CodeQL, le moteur d’analyse de code sémantique de premier plan du secteur’.
- Identifiez et corrigez les problèmes de sécurité dans vos dépendances à l’aide de Dependabot pour les alertes de sécurité et les mises à jour de sécurité automatisées.
- Recevez automatiquement une notification et bloquez les notifications Push où les informations d’identification sont validées par erreur dans le contrôle de code source avec l’analyse des secrets.
Créez en toute confiance des images conteneur prêtes pour la production, avec une traçabilité complète de bout en bout. En utilisant Azure Pipelines pour l’intégration continue et la livraison continue (CI/CD), votre code est compilé et empaqueté dans un conteneur Docker à chaque validation et déployé automatiquement dans un environnement de test. Suivez les validations, les éléments de travail et les artefacts de chaque image pour comprendre le code en cours d’exécution dans votre environnement.
Utilisez GitHub Actions pour automatiser et exécuter des workflows logiciels sur n’importe quel événement GitHub, tel qu’une transmission push, la création d’un problème ou la publication d’une nouvelle version. Combinez et configurez des actions pour les services que vous utilisez et gagnez du temps avec des workflows de matrice qui effectuent des tests simultanément sur plusieurs systèmes d’exploitation. Générez, testez et déployez du code grâce à la prise en charge du langage de votre choix.
Créez, stockez, sécurisez, analysez, répliquez et gérez des images conteneur et des artefacts avec Azure Container Registry. Identifiez les images conteneur vulnérables dans vos workflows CI/CD par analyse automatique à l’aide de Microsoft Defender pour le cloud.
Commencez avec une configuration sécurisée de votre infrastructure nuage en tant que code (IaC) avec Azure Resource Manager (ARM) ou d’autres modèles pour intégrer rapidement et aisément les développeurs. Appliquez et imposez des configurations modélisées qui garantissent une sécurité cohérente dans l’ensemble de l’organisation, associées à l’analyse des modèles IaC Microsoft Defender pour le cloud pour réduire les erreurs de configuration du nuage qui atteignent les environnements de production.
Déployez votre cluster AKS directement à partir de votre pipeline CI/CD, à l’aide de solutions d’infrastructure en tant que code, telles que Terraform.
Utilisez Azure Policy avec AKS pour garantir la conformité des opérations.
Stockez et gérez en toute sécurité les clés, certificats, jetons et autres secrets avec Azure Key Vault afin que vos applications puissent les charger au moment de l’exécution, tout en évitant le risque d’inclure des clés dans le code des applications. Appliquez les prescriptions de la norme FIPS 140-2 niveau 2 et niveau 3 afin de renforcer la sécurité en important et en générant des clés dans des modules de sécurité matériels (HSM).
Combinez avec l’analyse des secrets à partir de GitHub Advanced Security ou GitHub Advanced Security for Azure DevOps afin de vous protéger contre les vulnérabilités provoquées par l’envoi de secrets aux référentiels de code.
Que vous soyez en train de créer une application externe ou une application métier interne, utilisez Microsoft Entra ID (anciennement Azure AD) pour gérer le contrôle des identités et accès.
Éliminez la nécessité de gérer les secrets du principal de service Azure et d’autres informations d’identification nuage dans le magasin de secrets GitHub grâce aux fonctionnalités Microsoft Entra ID (anciennement Azure AD) de fédération des identités de charge de travail. Gérez l’accès aux ressources nuage de manière plus sécurisée dans Azure. Ces fonctionnalités réduisent également le risque de temps d’arrêt du service en raison d’informations d’identification expirées dans GitHub.
Authentifiez les utilisateurs auprès de l’annuaire de votre organisation et recourez à des fonctionnalités de sécurité avancées telles que authentification multifacteur, Microsoft Entra ID (anciennement Azure AD) Identity Protection et des rapports sur les activités anormales.
Aidez à protéger l’accès à vos ressources Azure et au Portail Azure avec un contrôle d’accès en fonction du rôle granulaire.
Gérez l’accès à vos applications business-to-consumer pour les utilisateurs externes avec Microsoft Entra ID (anciennement Azure AD) B2C.
Surveillez votre application et votre infrastructure en temps réel à l’aide d’ Azure Monitor. Identifiez les problèmes liés à votre code, ainsi que les activités et anomalies potentiellement suspectes.
Azure Monitor s’intègre aux pipelines de mise en production dans Azure Pipelines pour permettre l’approbation automatique des contrôles de qualité ou la restauration de version en fonction des données de supervision.
Microsoft Defender pour le cloud évalue, sécurise et protège en permanence les charges de travail et les postures de sécurité Azure, locales ou multiclouds. Fournit une visibilité complète de l’inventaire DevOps et de la posture de sécurité du code d’application de préproduction et des configurations de ressources.
Découvrez comment sécuriser tous vos environnements DevOps d’entreprise
Explorez la configuration sécurisée idéale des outils et pratiques DevOps d’entreprise. Ce livre électronique se concentre spécifiquement sur le renforcement des environnements de développement, de plateforme DevOps et d’application.
Produits connexes
Visual Studio Code
Éditeur de code puissant et léger pour le développement nuage.
Azure DevOps
Services permettant aux équipes de partager du code, de suivre des tâches et de distribuer des logiciels.
GitHub Enterprise
Innover à grande échelle en intégrant de manière sécurisée du code open source et des bonnes pratiques dans vos projets d’entreprise.
Azure Key Vault
Protéger les clés et autres secrets, et en garder le contrôle.
Microsoft Entra ID (anciennement Azure Active Directory)
Synchroniser les annuaires locaux et mettre en place l’authentification unique.
Azure Monitor
Observabilité totale des applications, de l’infrastructure et du réseau.
Microsoft Defender pour le cloud
Protéger vos environnements multicloud et hybrides.
GitHub Advanced Security pour Azure DevOps
Analyse du code, du secret et des dépendances native pour le flux de travail du développeur.
DevSecOps dans Azure
Si votre entreprise stocke des données personnalisées ou clientes, développez des solutions pour couvrir la gestion et l’interface de ces données en tenant compte de la sécurité. DevSecOps utilise les meilleures pratiques de sécurité dès le début du développement, plutôt que l’audit à la fin, dans le cadre d’une stratégie proactive (Shift Left).
Les clients innovent en toute sécurité avec DevSecOps
Gjensidige place la sécurité au premier plan dans sa nouvelle plateforme d’application
Gjensidige utilise des outils DevSecOps pour aider les développeurs à écrire du code plus sécurisé, à adopter les meilleures pratiques en matière de sécurité et à répondre rapidement aux vulnérabilités de la chaîne d’approvisionnement logicielle.
Réduction du délai de déploiement en toute sécurité à la vitesse DevOps
Pour raccourcir les délais de déploiement, le CDT a implémenté Azure et GitHub pour ses processus DevSecOps, les CI/CD et l’infrastructure. Ses équipes peuvent désormais collaborer et publier du code de manière plus rapide et sécurisée.
Consulting informatique, optimisé par l’approche DevSecOps
"Dans le cadre des meilleures pratiques de DevSecOps, nous recommandons notre plateforme DevSecOps, nos méthodes, ainsi que GitHub qui représente un composant clé de cet écosystème. À mesure que les processus de nos clients vont arriver à maturité, nous anticipons une progression de l’utilisation de GitHub Enterprise."
Naresh Choudhary, vice-président en charge de la réutilisation et des outils, Infosys
Intégration de la sécurité à la culture d’entreprise avec le DevSecOps
"La culture de l’entreprise établit que la sécurité est la responsabilité de tous dans le cadre de la communication et des interactions. Ingénieur ou chef de produit, vous devez vous soucier de la sécurité, autant que des fonctionnalités et de la qualité du produit."
Emilio Escobar, responsable de la sécurité des informations, Datadog
Prise en main de DevSecOps
Découvrez comment mettre en place l’approche DevSecOps avec GitHub et Azure.
En savoir plus sur la sécurité dans le nuage
Découvrez comment protéger vos applications et ressources multiclouds.