gwift-book/chapters/security.tex

\chapter{Sécurité}

\begin{quote}
    New developers simply want to write code that works; they don't know how to make software secure, or they mistakenly assume that the public code they use in their software has been audited for security. \cite[p. 79]{roads_and_bridges}
\end{quote}

\begin{quote}
    We put all security issues into JIRA, which all engineers use in their daily work, and they were either 'P1' or 'P2', meaning that they had to be fixed immediately or by the end of the week, even if the issue is only an internally-facing application.

    Any time we had a security issue, we would conduct a post-mortem, because it would result in better educating our engineers on how to prevent it from happening again in the future, as well as a fantastic mechanism for transferring security knowledge to our engineering team.

    -- Nick Galbreath \cite[p. 315]{devops_handbook}
\end{quote}

L'objectif final est d'utiliser les mêmes méthodes de travail pour les équipes de développement, pour les équipes d'opérations, et pour la sécurité de l'information, en poussant jusqu'à l'intégration de la télémétrie à chaque niveau de la chaîne de production, mais aussi en prouvant aux développeurs (en début de chaîne) qu'ils sont constamment sous attaque informatique, afin de les sensibiliser.

Il conviendra d'ajouter au dépôt de source: Au niveau du dépôt de sources, il convient d'y ajouter:

\begin{enumerate}
    \item
        Les librairies standards, leur utilisation et leur configuration (2FA, \ldots)
    \item
        Comment gérer les injections SQL, le cross-site-scripting, \ldots
    \item
        Comment gérer les secrets dans les applications: comment gérer les mots de passe, les journaux de logs, \ldots
    \item
        Les paquets à utiliser et à compiler (NTP pour synchroniser les horloges, les paramètres d'OpenSSL, \ldots), les configurations d'Nginx/Apache, \ldots
\end{enumerate}

\section{Certificats}