4 min lecture • Guide 737 of 877
Pratiques de Développement Focalisées Sécurité
La sécurité ne peut pas être une réflexion après coup. GitScrum aide les équipes à intégrer la sécurité dans les workflows agiles avec le suivi des tâches de sécurité, la gestion des vulnérabilités et l'intégration des processus.
Sécurité en Agile
Shift-Left Sécurité
SÉCURITÉ TOUT AU LONG DU DÉVELOPPEMENT:
┌─────────────────────────────────────────────────────────────┐
│ │
│ TRADITIONNEL (Shift-Right): │
│ │
│ Conception → Développer → Tester → Revue Sécurité → Déployer│
│ ↑ │
│ "On a trouvé 47 vulnérabilités" │
│ "Release retardée de 3 semaines" │
│ │
│ ─────────────────────────────────────────────────────────── │
│ │
│ SHIFT-LEFT (Intégré): │
│ │
│ Sécurité Sécurité Sécurité Sécurité │
│ ↓ ↓ ↓ ↓ │
│ Conception → Développer → Tester → Déployer │
│ │
│ À CHAQUE PHASE: │
│ │
│ Conception: │
│ • Modélisation menaces │
│ • Exigences sécurité │
│ • Revue architecture │
│ │
│ Développer: │
│ • Pratiques codage sécurisé │
│ • Analyse statique (SAST) │
│ • Scan de dépendances │
│ • Revue code inclut sécurité │
│ │
│ Tester: │
│ • Analyse dynamique (DAST) │
│ • Cas de test sécurité │
│ • Test de pénétration │
│ │
│ Déployer: │
│ • Scan de configuration │
│ • Protection runtime │
│ • Monitoring et alertes │
└─────────────────────────────────────────────────────────────┘
Intégration Sprint
SÉCURITÉ DANS LE RYTHME SPRINT:
┌─────────────────────────────────────────────────────────────┐
│ │
│ ALLOCATION SPRINT: │
│ │
│ [████████████████████████████░░░░░░░░░░] │
│ │ Features 60% │ Bugs 15% │ Sécurité 15% │ Dette Tech 10%│
│ │
│ TYPES DE TRAVAIL SÉCURITÉ: │
│ │
│ PROACTIF: │
│ • Fonctionnalités sécurité (2FA, chiffrement) │
│ • Améliorations sécurité │
│ • Tâches durcissement │
│ • Formation/apprentissage │
│ │
│ RÉACTIF: │
│ • Remédiation vulnérabilités │
│ • Réponse incidents │
│ • Conclusions d'audit │
│ • Mises à jour dépendances │
│ │
│ DANS LES CÉRÉMONIES SPRINT: │
│ │
│ Refinement Backlog: │
│ • Revue sécurité des features à venir │
│ • "Qu'est-ce qui pourrait mal tourner?" │
│ │
│ Sprint Planning: │
│ • Inclure les tâches sécurité │
│ • Critères d'acceptation sécurité │
│ │
│ Standup Quotidien: │
│ • Bloqueurs sécurité remontés │
│ │
│ Rétrospective: │
│ • Incidents sécurité revus │
│ • Améliorations processus │
└─────────────────────────────────────────────────────────────┘
Développement Sécurisé
Pratiques de Codage Sécurisé
CHECKLIST SÉCURITÉ DÉVELOPPEUR:
┌─────────────────────────────────────────────────────────────┐
│ │
│ VALIDATION ENTRÉES: │
│ ☐ Toutes les entrées utilisateur validées │
│ ☐ Validation liste blanche (pas liste noire) │
│ ☐ Requêtes paramétrées (pas d'injection SQL) │
│ ☐ Encodage sorties (pas de XSS) │
│ │
│ AUTHENTIFICATION: │
│ ☐ Exigences mot de passe fort │
│ ☐ Rate limiting sur endpoints auth │
│ ☐ Gestion sessions sécurisée │
│ ☐ Option authentification multi-facteurs │
│ │
│ AUTORISATION: │
│ ☐ Vérifications à chaque requête │
│ ☐ Principe moindre privilège │
│ ☐ Contrôles côté serveur │
│ │
│ DONNÉES: │
│ ☐ Chiffrement données sensibles │
│ ☐ HTTPS seulement │
│ ☐ Secrets non codés en dur │
└─────────────────────────────────────────────────────────────┘