Container Supply Chain Security
SBOM (Syft, CycloneDX), image signing (Cosign, Sigstore), OCI standards, vulnerability scanning, registry security
1Qu'est-ce qu'un SBOM (Software Bill of Materials) dans le contexte de la sécurité des conteneurs ?
Qu'est-ce qu'un SBOM (Software Bill of Materials) dans le contexte de la sécurité des conteneurs ?
Réponse
Un SBOM est un inventaire exhaustif de tous les composants logiciels contenus dans une image de conteneur, incluant les bibliothèques, dépendances et leurs versions. Il permet d'identifier rapidement les vulnérabilités connues et de suivre les composants à risque dans la supply chain. La génération automatique de SBOM avec des outils comme Syft ou CycloneDX est devenue une pratique essentielle pour maintenir la visibilité sur les dépendances transitives et répondre aux exigences de conformité.
2Quel format standard est utilisé par CycloneDX pour représenter un SBOM ?
Quel format standard est utilisé par CycloneDX pour représenter un SBOM ?
Réponse
CycloneDX utilise principalement les formats JSON et XML pour représenter les SBOM, conformément à la spécification OWASP CycloneDX. Ces formats structurés permettent l'interopérabilité entre différents outils de sécurité et facilitent l'intégration dans les pipelines CI/CD. Le format JSON est généralement privilégié pour sa légèreté et sa facilité de parsing, tandis que XML offre une validation de schéma plus stricte pour les environnements d'entreprise exigeants.
3Qu'est-ce que Cosign dans l'écosystème Sigstore ?
Qu'est-ce que Cosign dans l'écosystème Sigstore ?
Réponse
Cosign est un outil de signature et de vérification d'artefacts de conteneurs développé dans le cadre du projet Sigstore. Il permet de signer cryptographiquement des images OCI et de vérifier leur authenticité sans nécessiter d'infrastructure PKI complexe. Cosign s'intègre facilement dans les workflows CI/CD et supporte les signatures keyless via OIDC, simplifiant considérablement la gestion des clés par rapport aux méthodes traditionnelles comme GPG.
Quelle est la principale caractéristique du standard OCI (Open Container Initiative) pour les images ?
Qu'est-ce que Syft génère lors de l'analyse d'une image de conteneur ?
+19 questions d'entretien
Autres sujets d'entretien DevOps
Contrôle de version & Git
Fondamentaux Linux
Shell Scripting & Bash
Bases du Networking
Fondamentaux Docker
Fondamentaux CI/CD
GitHub Actions
GitLab CI/CD
Jenkins
Les bases de Kubernetes
Networking Kubernetes
Kubernetes Avancé
Ingress & API Gateway
Les bases de Terraform
Terraform Avancé
Ansible & Configuration Management
AWS Essentiels
Fondamentaux Azure
Fondamentaux GCP
Monitoring & Prometheus
Logging & ELK Stack
Alerting & Incident Response
Cloud Identity & Secrets
Sécurité Pipelines CI/CD
Helm & Kubernetes
Sécurité Runtime & Cluster
Service Mesh & Istio
GitOps & ArgoCD
Progressive Delivery
Observabilité Distribuée
Disaster Recovery & Backup
Optimisation des Performances
Optimisation des Coûts Cloud
Principes SRE
Chaos Engineering
Platform Engineering
Maîtrise DevOps pour ton prochain entretien
Accède à toutes les questions, flashcards, tests techniques, exercices de code review et simulateurs d'entretien.
Commencer gratuitement