J'ai packagé mon application en image Docker, et maintenant ?

Vous avez réussi à packager/builder votre application en image de conteneur, avec Docker ou Podman, et à la pusher dans un registre d'images/d'artefacts ? Félicitations… mais le travail n'est pas terminé 🙂. Maintenant il est temps de mettre en place les bonnes pratiques de la Software Supply Chain Security !

• Pourquoi et comment signer une image ?
• Pourquoi et comment générer l'inventaire de mon image ?
• Mon image a-t-elle des vulnérabilités ? Sont-elles exploitables ?
• Les attestations ça sert à quoi ?
• Comment automatiser tout cela ?

Dans ce talk, étape par étapes, avec un mélange de slides et de live démos, nous verrons tout cela, et bien plus encore.

Vous saurez comment mettre en place ces bonnes pratiques, en local et même dans vos pipelines CI/CD.

Et bonus track, après ce talk des termes comme "cosign", "sbom", "vex", "in-toto"… n'auront plus de secret pour vous !