Security Scan, Compliance, and Quality Gate
A focused chapter on security scan, compliance, and quality gate, with practical delivery concerns, trade-offs, and the operational questions behind CI/CD work.
Pourquoi votre pipeline doit vérifier la sécurité et la conformité
Découvrez comment intégrer des contrôles de sécurité et de conformité dans votre pipeline CI/CD pour automatiser la détection des vulnérabilités, des secrets et des erreurs de configuration, sans ralentir vos développeurs.
Ce que votre pipeline peut réellement vérifier (au-delà du simple scan de sécurité)
Découvrez les vérifications essentielles à intégrer dans votre pipeline CI/CD : scan des dépendances, des conteneurs, de l'infrastructure as code, des secrets et des licences.
Quand faire échouer un pipeline et quand simplement avertir
Vous venez d'ajouter un scanner de sécurité à votre pipeline CI. La première analyse trouve 47 problèmes. Découvrez comment définir un seuil de sévérité pour équilibrer sécurité et productivité.
Quand votre pipeline de sécurité bloque tout : gérer les exceptions sans créer de failles
Votre pipeline CI échoue à cause d'une vulnérabilité sans correctif. Découvrez comment gérer les exceptions de sécurité sans affaiblir vos règles, avec un mécanisme d'approbation, d'expiration et de traçabilité.
Quand les règles de sécurité vivent dans des documents, elles sont ignorées
Découvrez pourquoi les politiques de sécurité écrites dans des documents sont rarement appliquées et comment la politique en tant que code (policy as code) garantit une application cohérente et automatisée dans vos pipelines CI/CD.
L'emplacement des quality gates dans votre pipeline importe plus que ce que vous scannez
Découvrez comment positionner stratégiquement vos quality gates dans le pipeline CI/CD pour un feedback rapide, moins de gaspillage de ressources et une meilleure conformité.
Quand les résultats des scans de sécurité sont ignorés (et comment y remédier)
Votre pipeline inclut un scan de sécurité. Les outils sont configurés, les quality gates en place. Pourtant, les résultats sont ignorés. Découvrez comment rendre les findings actionnables et réduire la fatigue des notifications.
Quand votre garde-fou de sécurité ne fonctionne plus : mesurer et améliorer l'efficacité du pipeline
Vous avez mis en place des scans de sécurité, des vérifications de conformité et des quality gates. Six mois plus tard, les développeurs multiplient les exceptions, l'équipe sécurité se noie dans les faux positifs et personne ne fait plus confiance au pipeline. Ce n'est pas un problème d'outil, mais d'efficacité des garde-fous.