· Blog de veille

L’actualité DevSecOps vue par Clever Presence

En ce début avril, nous vous proposons une sélection de l’actualité DevSecOps de ces dernières semaines. 

Ce qu’il ne fallait pas manquer !

Kubernetes 1.14

Outre de nombreux correctifs, toujours plus de sécurité et quelques évolutions fonctionnelles, on notera principalement l’arrivée officielle du support de nœuds Windows dans Kubernetes. Est-ce que, finalement, les conteneurs ne sont pas que Linux ?

L’anniversaire de Docker

Déjà 6 ans pour la solution qui a révolutionné l’utilisation des conteneurs.

K3s

Un Kubernetes épuré, léger en taille et en utilisation mémoire, en mode single binary, lancé par Rancher Labs, notamment à destination de l’IoT connecté.

OVH – Manage Kubernetes Service 

OVH a lancé officiellement son service Kubernetes managé. Enfin une offre alternative aux clouds américains… en attendant celle de Scalway.

Continuous Delivery foundation

Une nouvelle fondation pour fédérer la collaboration entre les solutions d’intégration, déploiement et livraison continue.

Nodeless Kubernetes

Une approche intéressante sur le management de ressources et des nœuds dans Kubernetes.

Traduction française de la documentation Kubernetes

L’initiative a été lancée il y a quelques semaines à peine et Clever Age y participe.

Dépôts privés et gratuits sur Github

Github refond son offre et permet maintenant de créer des repositories privés gratuitement (jusqu’à 3 utilisateurs).

Github Actions

Github a fait un 1er pas vers l’intégration d’une vraie plateforme de CI/CD dans son écosystème avec la mise à disposition d’Actions. Il vous est maintenant possible de définir un workflow de build, voir de déploiement, se basant sur des conteneurs Docker, directement via Github.

Gitlab 11.9

Gitlab 11.9 est sorti. Parmi les évolutions marquantes de cette release :

  • Intégration de la fonctionnalité ChatOps dans le version OpenSource qui permet d’intégrer et piloter Gitlab CI directement via des commandes Slack.
  • Possibilité de lancer des jobs lors des merge requests uniquement si certains fichiers ont changés. De quoi optimiser les temps de build et déploiement.
  • En version Entreprise, Gitlab continue à développer les aspects « sécurité », avec notamment la détection de secrets et crédits de connexion dans les dépôts Git.
  • Toujours en version entreprise, on regardera de près la fonction de feature flags.
  • Et bien entendu, on suit de près l’intégration toujours plus poussée avec Kubernetes et Knative (pour faire du serverless).

Un point sur la sécurité

Ces derniers temps, les failles de sécurité sur des outils très communs ont été découvertes.

Pour ne citer que quelques exemples sur les CMS / solutions E-commerce très utilisées :

  • Drupal 8 (et 7 via certains modules) vulnérable au niveau de ses API Rest via une attaques de type sérialisation/déserialisation. Un type d’attaque de plus en plus en vogue.
  • Magento 1 et 2 avec notamment une faille critique sur de l’injection SQL exécutable même pour les utilisateurs anonymes.
  • WordPress (faille XSS)

La partie “ops” n’est pas en reste non plus ces derniers mois :

  • Jenkins, en décembre 2018
  • Kubernetes, également en décembre 2018

Ont eux aussi eu droit à leur release de sécurité (critique).

Alors un conseil, prenez les devants et mettez à jour vos installations.

Les outils à suivre 

Quarkus

Kubernetes Native Java stack

Krew

Plugin manager pour kubectl

Micro8s

Une alternative à MiniKube, par Canonical