Sécurité applicative
DevSecOps
Aussi appelé: SecDevOps, Rugged DevOps
Définition
Culture et pratiques qui intègrent les responsabilités de sécurité dans les flux DevOps afin de livrer en continu et rapidement des logiciels sécurisés.
Exemples
- Exécuter Trivy, Semgrep et Gitleaks sur chaque pull request dans un pipeline GitHub Actions.
- Imposer du policy-as-code avec OPA/Conftest sur les plans Terraform avant leur application.
Termes liés
Sécurité applicative (AppSec)
Discipline consistant à concevoir, développer, tester et exploiter les logiciels afin qu'ils résistent aux abus, à la falsification et aux accès non autorisés sur tout leur cycle de vie.
Cycle de développement logiciel sécurisé (SSDLC)
Cycle de développement où les activités de sécurité sont intégrées à chaque phase, des exigences à la conception, au code, aux tests, à la livraison et à l'exploitation.
Sécurité shift-left
Pratique consistant à déplacer les activités de sécurité au plus tôt dans le cycle de vie logiciel afin de détecter et corriger les vulnérabilités avant la production.
SAST (Static Application Security Testing)
Analyse automatisée du code source, du bytecode ou des binaires — sans exécution — pour repérer des faiblesses de sécurité comme l'injection, les API non sûres ou la cryptographie faible.
SCA (Software Composition Analysis)
Analyse automatisée des composants open source et tiers d'une application pour identifier les vulnérabilités connues, les problèmes de licence et les dépendances obsolètes ou risquées.
Secure Coding
Secure Coding — definition coming soon.