Mise en place d'un pipeline CICD efficace pour accélérer la livraison des logiciels et améliorer les tests de sécurité
Aurélien Campergue
Fournir rapidement des logiciels de haute qualité est essentiel dans le paysage numérique actuel qui évolue rapidement, et un pipeline d'intégration continue et de livraison continue (CICD) bien conçu peut aider les équipes de développement à atteindre cet objectif en permettant des boucles de retour d'information plus rapides et en réduisant le temps entre les modifications du code et le déploiement.
Le pipeline CICD se compose de quatre étapes : le développement, l'intégration, la mise à l'essai et la production. L'étape de développement est celle où chaque nouvelle version du logiciel est déployée et testée indépendamment, tandis que l'étape d'intégration teste les composants logiciels ensemble. L'étape d'intégration teste les composants logiciels ensemble. L'étape de mise à disposition déploie les composants logiciels dans un environnement similaire à celui d'un produit, tandis que l'étape de production est l'environnement stable auquel les utilisateurs finaux peuvent accéder. L'application est déployée successivement de l'environnement de développement à l'environnement de production en suivant un processus fixe.
Le pipeline CICD suit un processus générique de construction et de déploiement, qui est mis en œuvre différemment en fonction du langage et des outils utilisés. Par exemple, une construction Java/Maven avec un déploiement Helm/Helmfile dans Kubernetes pourrait être utilisée.
Les tests de sécurité constituent une partie importante du pipeline CICD. Les tests statiques de sécurité des applications (SAST) et les tests dynamiques de sécurité des applications (DAST) sont utilisés pour détecter les problèmes potentiels avant qu'ils ne surviennent. Sonarqube est un exemple d'application autonome qui peut être liée à un environnement de développement existant. Gitlab est une plateforme de développement logiciel de bout en bout qui s'intègre nativement avec des plugins de test de sécurité.
La construction d'images Docker est également une tâche courante dans les environnements de développement modernes. Kaniko est un outil publié par Google qui peut être utilisé pour construire des images Docker dans Gitlab. Le pipeline lit un fichier docker-compose.yml pour obtenir des informations de construction qui seront transmises à Kaniko pour construire le fichier Docker présent dans le projet.
Une fois construites, les images sont déployées dans un registre quay, qui comprend la fonction d'analyse des couches de conteneurs par rapport aux vulnérabilités connues. Un script Python est implémenté dans le pipeline pour demander les résultats de cette analyse, ce qui permet de définir des barrières de qualité dans le processus de déploiement.
Une approche GitOps est utilisée pour gérer les dépendances de construction de Docker. GitOps est une méthodologie de développement logiciel qui utilise Git comme source unique de vérité pour la configuration déclarative de l'infrastructure et de l'application. Le pipeline crée un fichier qui relie l'image en amont au dépôt de code, déclenchant automatiquement une construction chaque fois qu'un nouveau commit est effectué.
Auteur
Carrière
Vous souhaitez travailler dans un environnement inspirant et rejoindre nos équipes motivées et multiculturelles ?
