DevSecOps
Qu'est-ce que DevSecOps ?
DevSecOpsCulture et pratiques qui intègrent les responsabilités de sécurité dans les flux DevOps afin de livrer en continu et rapidement des logiciels sécurisés.
DevSecOps prolonge DevOps en faisant de la sécurité une responsabilité partagée entre développement, sécurité et exploitation, plutôt qu'un contrôle final. Il automatise des contrôles dans les pipelines CI/CD — SAST, SCA, détection de secrets, analyse de conteneurs, IaC, DAST, policy-as-code — pour faire remonter les problèmes là où les développeurs travaillent déjà. À l'automatisation s'ajoute un changement culturel : security champions, rétrospectives sans blâme, KPIs visibles et outils en libre-service. Bien mis en œuvre, DevSecOps réduit le temps moyen de remédiation, le taux de fuite de vulnérabilités en production et la friction réglementaire, tout en maintenant une cadence de déploiement élevée.
● Exemples
- 01
Exécuter Trivy, Semgrep et Gitleaks sur chaque pull request dans un pipeline GitHub Actions.
- 02
Imposer du policy-as-code avec OPA/Conftest sur les plans Terraform avant leur application.
● Questions fréquentes
Qu'est-ce que DevSecOps ?
Culture et pratiques qui intègrent les responsabilités de sécurité dans les flux DevOps afin de livrer en continu et rapidement des logiciels sécurisés. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie DevSecOps ?
Culture et pratiques qui intègrent les responsabilités de sécurité dans les flux DevOps afin de livrer en continu et rapidement des logiciels sécurisés.
Comment se défendre contre DevSecOps ?
Les défenses contre DevSecOps combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de DevSecOps ?
Noms alternatifs courants : SecDevOps, Rugged DevOps.