Description
- La sécurité informatique, c’est dur ! On doit :
- écrire du code qui ne contient aucun exploit,
- monitorer nos dépendances (y compris les transitives),
- éviter de faire fuiter des secrets,
- utiliser une infrastructure dans laquelle on a confiance,
- et plus encore !
Si on néglige un de ces points, on fait courir un risque à nos utilisateurs. 3 de ces exemples peuvent être regroupés en un type de menace : les “supply chain attacks”, les attaques sur la chaîne d’approvisionnement. En d’autres termes, les attaquants ne s’en prennent pas à votre produit en lui-même, mais ils cherchent des vulnérabilités sur ce qui entoure votre produit.
Il y a plusieurs manières de pallier ce risque. Par exemple : une entreprise peut tout à fait mettre en place une infrastructure privée pour builder, tester et déployer ses produits. Cependant, lorsqu’il s’agit de logiciel open source, on se doit de rendre public le plus de choses possibles.
Au cours de cette présentation, j’aimerais vous montrer comment une bonne quantité de Python permet à Mozilla de publiquement builder, tester et déployer Firefox. Tout ceci en ayant une confiance raisonnablement grande, pour dire que les binaires que Mozilla publie correspondent au code que les Mozilliens ont écrit.