Articles

Tutoriel OIDC pour sécuriser votre CI/CD

Tutoriel OIDC pour sécuriser votre CI/CD

,

Apprenez à sécuriser votre CI/CD avec ce tutoriel OIDC ! Découvrez comment utiliser ce protocole pour protéger votre système de livraison continue.

Commençons par une histoire : Avez-vous entendu parler de la breach de CircleCI ? Non, pas celle où ils ont accidentellement divulgué des informations d’identification de clients il y a quelques années. Cette fois, c’est un peu plus sérieux.

The incident highlights the importance of testing security measures regularly. It’s not enough to just set up security measures and forget about them. Companies need to regularly test their security measures to make sure they are up-to-date and effective.

Commençons par une histoire : Avez-vous entendu parler de la violation de CircleCI ? Non, pas celle où ils ont accidentellement divulgué des informations d’identification de certains clients il y a quelques années. Cette fois, c’est un peu plus sérieux.

Il semble que des individus non autorisés ont pu accéder aux systèmes de CircleCI, compromettant les secrets stockés dans CircleCI. CircleCI a conseillé aux utilisateurs de faire tourner « tous les secrets » stockés dans CircleCI, y compris ceux stockés dans les variables d’environnement ou les contextes du projet.

L’incident met en évidence l’importance des tests de sécurité réguliers. Il ne suffit pas de mettre en place des mesures de sécurité et de les oublier. Les entreprises doivent régulièrement tester leurs mesures de sécurité pour s’assurer qu’elles sont à jour et efficaces.

Source de l’article sur DZONE

/par
Guide complet AWS ECS vs Kubernetes

Guide complet AWS ECS vs Kubernetes

,

Vous cherchez à comprendre les différences entre AWS ECS et Kubernetes ? Découvrez notre guide complet pour vous aider à choisir le bon outil !

Containerisation : la solution moderne pour un déploiement multi-plateforme où l’application entière vit dans un conteneur qui se déploie sur différentes machines

Software such as Kubernetes, Docker Swarm, and Apache Mesos are the most popular container orchestration tools. They provide a platform for developers to deploy, manage, and scale applications quickly and easily.

La conteneurisation est la solution moderne pour une déploiement multi-plateforme où l’application entière vit à l’intérieur d’un conteneur qui se déploie sur différentes machines. Les conteneurs uniques fonctionnent parfaitement pour les applications simples, mais avec une architecture de micro-services, chaque service nécessite un conteneur séparé.

Cependant, gérer plusieurs conteneurs peut être fastidieux, c’est pourquoi vous disposez d’outils d’orchestration de conteneurs qui facilitent la communication entre conteneurs, le suivi de la santé et la gestion, ainsi que les processus de protocole de sécurité.

Des logiciels tels que Kubernetes, Docker Swarm et Apache Mesos sont les outils d’orchestration de conteneurs les plus populaires. Ils fournissent une plate-forme aux développeurs pour déployer, gérer et mettre à l’échelle rapidement et facilement des applications. Ces outils permettent aux développeurs de créer des applications robustes et évolutives en utilisant des conteneurs qui peuvent être déployés sur des environnements différents. Les outils d’orchestration de conteneurs permettent aux développeurs de gérer et de surveiller facilement leurs applications, ce qui leur permet d’effectuer des mises à jour et des modifications sans interruption des services.

Les outils d’orchestration de conteneurs sont essentiels pour les développeurs qui souhaitent créer des applications modernes et évolutives. Les outils d’orchestration de conteneurs offrent une solution complète pour le déploiement, la gestion et le développement des applications. Ils offrent une solution pratique et efficace pour le déploiement et la gestion des applications sur différentes plateformes. Les outils d’orchestration de conteneurs permettent aux développeurs de créer des applications robustes et évolutives en utilisant des conteneurs qui peuvent être déployés sur des environnements différents.

Les outils d’orchestration de conteneurs sont indispensables pour les développeurs qui souhaitent créer des applications modernes et évolutives. Les outils d’orchestration de conteneurs offrent une solution complète pour le déploiement, la gestion et le développement des applications. Ils offrent une solution pratique et efficace pour le déploiement et la gestion des applications sur différentes plateformes. Les outils d’orchestration de conteneurs permettent aux développeurs de gérer facilement leurs applications et leur permettent d’effectuer des mises à jour et des modifications sans interruption des services.

Les outils d’orchestration de conteneurs sont indispensables pour les développeurs qui souhaitent créer des applications modernes et évolutives. Les outils d’orchestration de conteneurs tels que Kubernetes, Docker Swarm et Apache Mesos sont les plus populaires et offrent une plate-forme aux développeurs pour déployer, gérer et mettre à l’échelle rapidement et facilement des applications. Ces outils permettent aux développeurs de créer des applications robustes et évolutives en utilisant des conteneurs qui peuvent être déployés sur des environnements différents. Les outils d’orchestration de conteneurs permettent aux développeurs de

Source de l’article sur DZONE

/par
Ne Pas Utiliser de Credentiels dans une CI/CD Pipeline

Ne Pas Utiliser de Credentiels dans une CI/CD Pipeline

,

Les pipelines CI/CD sont des outils puissants, mais il est important de ne pas utiliser de credentiels sensibles pour éviter les risques de sécurité.

Comment Donner un Accès Sécurisé à des Services Tiers Sans Utiliser de Clés Secrètes

OpenID Connect (OIDC) is a protocol that allows users to authenticate themselves with an external identity provider, such as Auth0 or Okta. It works by exchanging an access token between the identity provider and the application. This token is cryptographically signed and contains a set of claims about the user, such as their name, email, and other attributes. The application can then use this token to authenticate the user and grant them access to resources.

En tant qu’utilisateur qui construit et maintient des infrastructures cloud, j’ai toujours été méfiant du point de vue de la sécurité lorsque je donne un accès à des services tiers, tels que les plateformes CI/CD. Tous les fournisseurs de services prétendent prendre des précautions strictes et mettre en œuvre des processus infaillibles, mais les vulnérabilités sont toujours exploitées et les erreurs arrivent. Par conséquent, ma préférence est d’utiliser des outils qui peuvent être hébergés en interne. Cependant, je ne peux pas toujours avoir le choix si l’organisation est déjà engagée auprès d’un partenaire externe, tel que Bitbucket Pipelines ou GitHub Actions. Dans ce cas, pour appliquer un IaC Terraform ou déployer un groupe d’échelle automatique, il n’y a pas d’autre choix que de fournir à l’outil externe une clé secrète API, n’est-ce pas ? Faux ! Avec la prolifération de OpenID Connect, il est possible de donner aux plates-formes tierces un accès basé sur des jetons qui n’exige pas de clés secrètes.

Le problème avec une clé secrète est qu’il y a toujours une chance qu’elle soit divulguée. Le risque augmente plus elle est partagée, ce qui se produit lorsque des employés quittent et que de nouveaux arrivent. L’un d’entre eux peut le divulguer intentionnellement ou ils peuvent être victimes d’une hameçonnage ou d’une violation. Lorsqu’une clé secrète est stockée dans un système externe, cela introduit un tout nouvel ensemble de vecteurs de fuite potentiels. Atténuer le risque implique de changer périodiquement les informations d’identification, ce qui est une tâche qui n’ajoute pas de valeur perceptible.

OpenID Connect (OIDC) est un protocole qui permet aux utilisateurs de s’authentifier auprès d’un fournisseur d’identité externe, tel qu’Auth0 ou Okta. Il fonctionne en échangeant un jeton d’accès entre le fournisseur d’identité et l’application. Ce jeton est signé de manière cryptographique et contient un ensemble de revendications sur l’utilisateur, telles que son nom, son adresse électronique et d’autres attributs. L’application peut ensuite utiliser ce jeton pour authentifier l’utilisateur et lui donner accès aux ressources.

Les jetons OIDC sont une alternative intéressante aux clés secrètes pour donner aux plates-formes tierces un accès limité aux ressources cloud. Les jetons sont générés par le fournisseur d’identité et peuvent être limités à une durée de vie spécifique et à un ensemble de revendications spécifiques. De plus, ils peuvent être révoqués à tout moment par le fournisseur d’identité si nécessaire. Les jetons OIDC sont donc une solution plus sûre et plus flexible pour donner aux plates-formes tierces un accè

Source de l’article sur DZONE

/par
De zéro à héros: Apprendre Web3 avec Infura et Python

De zéro à héros: Apprendre Web3 avec Infura et Python

,

Devenez un héros du Web3 en apprenant à utiliser Infura et Python ! Découvrez comment créer des applications décentralisées avec ces outils puissants.

Comment démarrer avec le Web3

Pour commencer

Même si je code depuis la fin des années 90, je suis vraiment un débutant complet dans le monde de Web3. Je ne suis pas un expert, donc je n’essaierai pas d’expliquer les fondamentaux. Il y a beaucoup de guides et de tutoriels de contenu excellents là-bas. Je suggère de commencer par la documentation Infura, qui est très complète et compréhensible.

Comprendre les prérequis

Avant de commencer à développer des applications Web3, il est important de comprendre les prérequis. Tout d’abord, vous devez comprendre les principes fondamentaux de la blockchain et des crypto-monnaies. Ensuite, vous devez comprendre le protocole Ethereum et la plate-forme Ethereum. Enfin, vous devez comprendre le langage de programmation Solidity et le framework Web3.js. Une fois que vous avez compris ces concepts, vous pouvez commencer à développer des applications Web3.

Test

Une fois que vous avez compris les prérequis, vous pouvez commencer à tester votre application Web3. Pour ce faire, vous pouvez utiliser un service d’API tel que Infura pour accéder à la blockchain Ethereum. Vous pouvez également utiliser Python pour interagir avec la blockchain via Infura. Une fois que vous avez mis en place votre environnement de développement, vous pouvez commencer à tester votre application Web3 en utilisant des outils tels que Truffle et Ganache. Vous pouvez également tester votre application sur un réseau réel en utilisant un service tel que MetaMask.

Source de l’article sur DZONE

/par
Création de code de transaction de compensation pour Saga Participant

Création de code de transaction de compensation pour Saga Participant

,

La création d’un code de transaction de compensation pour les participants à Saga est une étape importante pour assurer une expérience de jeu équitable et sécurisée.

La saga Pattern est utilisée pour fournir une intégrité des données entre plusieurs services et le faire pour des transactions potentiellement à long terme. Il existe de nombreux blogs, superficiels car ils tendent à l’être, sur les sagas et les transactions à long terme. Dans cet article, je ne rentrerai pas dans les détails en comparant les avantages et les inconvénients des sagas avec le protocole XA deux phases (2PC), le verrouillage distribué, etc., et je dirai simplement que XA et 2PC nécessitent des verrous distribués (inconvénient) qui gèrent les propriétés ACID de sorte que l’utilisateur puisse simplement exécuter un rollback ou un commit (avantage) alors que les sagas n’utilisent que des transactions locales et n’ont donc pas besoin de verrous distribués (avantage) mais nécessitent que l’utilisateur implémente la logique de compensation, etc. (inconvénient). Comme l’a dit Teddy Roosevelt, «Rien de bon ne vient facilement».

Ce que je ferai, c’est montrer un exemple de code complet d’une application microservices impliquant une saga, y compris la logique de compensation des participants, qui peut être trouvée dans ce dépôt.

La saga pattern est utilisée pour assurer l’intégrité des données entre plusieurs services et pour effectuer des transactions de longue durée. Il existe de nombreux blogs, superficiels, sur les sagas et les transactions de longue durée. Dans cet article, je ne vais pas entrer dans les détails en comparant les avantages et les inconvénients des sagas avec le protocole XA à deux phases (2PC), le verrouillage distribué, etc., et je dirai simplement que XA et 2PC nécessitent des verrous distribués (inconvénient) qui gèrent les propriétés ACID de sorte que l’utilisateur puisse simplement exécuter un rollback ou un commit (avantage), alors que les sagas n’utilisent que des transactions locales et ne nécessitent donc pas de verrous distribués (avantage) mais nécessitent que l’utilisateur implémente la logique de compensation, etc. (inconvénient). Comme l’a dit Teddy Roosevelt : «Rien de bien ne vient facilement».

Ce que je vais faire, c’est montrer un exemple de code complet d’une application microservices impliquant une saga, y compris la logique de compensation des participants, qui peut être trouvée dans ce dépôt.

L’utilisation des sagas pour gérer les transactions de longue durée est une pratique courante dans le développement d’applications microservices. Les sagas sont un moyen efficace de garantir l’intégrité des données entre plusieurs services et de gérer les transactions à long terme. Les sagas sont une bonne alternative aux protocoles XA à deux phases (2PC) et au verrouillage distribué car elles n’utilisent que des transactions locales et ne nécessitent pas de verrous distribués. Cependant, elles nécessitent que l’utilisateur implémente la logique de compensation, etc., ce qui peut être complexe et prendre du temps.

Les sagas sont une excellente solution pour gérer les transactions à long terme car elles offrent une grande flexibilité et une bonne gestion des données. Les sagas sont particulièrement utiles pour les applications qui impliquent plusieurs services car elles peuvent garantir la cohérence des données entre ces services. De plus, les sagas peuvent être facilement mises en œuvre dans un environnement microservices car elles peuvent être facilement intégrées aux services existants. Enfin, les sagas peuvent être facilement mises à jour pour prendre en charge les changements dans le système et ainsi garantir la cohérence des données.

Les sagas sont un outil puissant pour garantir l’intégrité des données entre plusieurs services et pour gérer les transactions à long terme. Bien qu’elles nécessitent une implémentation complexe et prennent du temps, elles offrent une grande flexibilité et une bonne gestion des données. Elles peuvent également être facilement intégrées aux services existants et mises à jour pour prendre en charge les changements dans le système. Les sagas sont donc un excellent outil pour garantir la cohérence des données entre plusieurs services et pour gérer les transactions à long terme.

Source de l’article sur DZONE

/par
Surveillance Linux OS avec HertzBeat Open Source en temps réel.

Surveillance Linux OS avec HertzBeat Open Source en temps réel.

,

Surveiller votre système Linux avec HertzBeat Open Source en temps réel pour une meilleure sécurité et une plus grande efficacité!

## Introduction à HertzBeat

Introduction à HertzBeat

HertzBeat est un système de surveillance en temps réel open source, facile à utiliser et convivial qui ne nécessite pas d’agent et dispose de puissantes fonctionnalités de surveillance personnalisée. Il intègre la surveillance, l’alarme et la notification, prend en charge la surveillance des services applicatifs, des bases de données, des systèmes d’exploitation, du middleware, du cloud natif, etc., des alarmes seuil et des notifications d’alarme (e-mail WeChat Dingding Feishu SMS Slack Discord Telegram). Il possède des spécifications de protocole configurables telles que Http, Jmx, Ssh, Snmp, Jdbc, etc. Vous n’avez qu’à configurer YML pour utiliser ces protocoles afin de personnaliser et de collecter n’importe quel indicateur que vous souhaitez collecter. Pouvez-vous croire que vous pouvez adapter immédiatement un nouveau type de surveillance, tel que K8s ou Docker, simplement en configurant YML?

La puissante personnalisation, le support multi-types, l’expansion facile et le faible couplage d’HertzBeat espèrent aider les développeurs et les petites et moyennes équipes à construire rapidement leur propre système de surveillance. En tant qu’informaticien enthousiaste, je suis très intéressé par l’architecture HertzBeat et je suis impatient de l’essayer. HertzBeat est une excellente solution pour les développeurs qui souhaitent créer leur propre système de surveillance. Il est facile à installer et à configurer et offre une variété de fonctionnalités pour surveiller les performances des applications. Les utilisateurs peuvent surveiller les performances des applications et recevoir des notifications en cas de problème. HertzBeat est également très flexible et peut être configuré pour surveiller n’importe quel type d’application ou de service. La puissance de l’architecture HertzBeat permet aux développeurs de créer des systèmes de surveillance personnalisés pour leurs applications.

Source de l’article sur DZONE

/par
Utiliser FaceIO pour développer le module d'authentification d'utilisateur d'une application web basée sur l'IA.

Utiliser FaceIO pour développer le module d’authentification d’utilisateur d’une application web basée sur l’IA.

,

Utiliser FaceIO pour développer le module d’authentification d’utilisateur d’une application web basée sur l’IA est une solution innovante et sécurisée. Découvrez comment cela fonctionne!

Comment développer le module de connexion d’utilisateur du projet d’application Web à l’aide de l’interface de service AI tiers

Dans le passé, le développement des systèmes d’informations web application a nécessité une fonction module d’authentification d’utilisateur indispensable. La fonction d’authentification d’utilisateur comprend l’enregistrement et l’authentification de connexion des utilisateurs. Dans les méthodes de développement passées, la manière courante de réaliser le module de fonction d’authentification d’utilisateur est d’utiliser l’e-mail et le SMS pour vérifier. Maintenant, de nombreux ordinateurs des utilisateurs sont équipés de caméras, qui peuvent pleinement utiliser la technologie d’intelligence artificielle de reconnaissance faciale pour réaliser l’authentification d’utilisateur. J’ai utilisé la bibliothèque JavaScript de FaceIO pour mettre en œuvre l’authentification d’utilisateur dans le projet web app.

Cet article présente principalement comment développer le module de connexion utilisateur du projet web application à travers l’interface de service AI tiers. Le code source du projet web application a été téléchargé sur GitHub et est basé sur le protocole MIT. Il n’y a pas de restrictions.

En tant qu’informaticien enthousiaste, j’ai trouvé que l’utilisation de la reconnaissance faciale pour l’authentification d’utilisateur était très pratique. En outre, j’ai également constaté que la base de données des services AI tiers était très riche et complète. Cela me permet de trouver facilement les informations dont j’ai besoin pour le développement du projet web application. De plus, ces services AI tiers fournissent également des API très pratiques pour intégrer leurs fonctions à mon projet. Grâce à ces API, je peux facilement intégrer la reconnaissance faciale à mon projet web application et réaliser l’authentification d’utilisateur.

Source de l’article sur DZONE

/par

CERTFR-2022-ALE-003 : Vulnérabilité dans l’implémentation du protocole RPC par Microsoft (13 avril 2022)

, , ,

Une vulnérabilité a été découverte dans l’implémentation du protocole RPC par Microsoft. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

Le CERT-FR recommande d’appliquer la mise à jour dans les plus brefs délais.

Par …
Source de l’article sur CERT-FR

/par

CERTFR-2020-ALE-021 : Vulnérabilité dans Samba (18 septembre 2020)

, , ,

La vulnérabilité CVE-2020-1742 pour laquelle Microsoft a publié un premier correctif le 11 août est une vulnérabilité du protocole Netlogon. L’éditeur du logiciel Samba confirme donc qu’un serveur Samba configuré en tant que contrôleur de domaine est également vulnérable. …
Source de l’article sur CERT-FR

/par

CERTFR-2020-ALE-020 : Vulnérabilité dans Microsoft Netlogon (15 septembre 2020)

, , ,

Le 11 août 2020, Microsoft a publié un avis de sécurité concernant la correction d’une vulnérabilité affectant le protocole Netlogon Remote Protocol.

Le CERT-FR a émis un avis le 12 août 2020 ainsi que des bulletins informant de la situation. Cette vulnérabilité, …
Source de l’article sur CERT-FR

/par