1. Présentation de l’ Ecosystème Nexus/Devops
Meetup Paris 13 Juin 2017
Karim Djaafar : Directeur Technique de Jasmine Conseil
Selim Bedrani: Regional Sales Director EMEA South & North Africa
Jasmine Conseil 2017 – Tous droits réservés
2. Jasmine Conseil 2016 – Tous droits réservés
1. Présentation de Sonatype et de son
partenaire Jasmine Conseil
2. Gestion de la chaine d’approvisionnement
logicielle: Constats & Evolutions
3. Présentation de « l’écosystème » Nexus
4. Présentation de Nexus repository Pro et
Intégration avec Nexus IQ
5. Démo
6. Questions & Réponses
Agenda
2
4. • Selim BEDRANI
• Regional Sales Director
EMEA South & Africa of Sonatype
• « Alla ! Madrid ! »
• « Asmaa Gabriella »
4Jasmine Conseil 2017 – Tous droits réservés
5. 5
• Olivier ROUTIER
• Head of CI DevOps at EDF
• « Eating, Drinking, DevOpsing »
Jasmine Conseil 2017 – Tous droits réservés
6. • Karim DJAAFAR
• +20 ans d’expérience projet et dans le conseil et
l’accompagnement des projets et des architectures
JAVA/JEE
• Directeur technique de la SSLL Jasmine Conseil
• « The Coding Evangelist …»
6Jasmine Conseil 2017 – Tous droits réservés
8. Nos axes d’expertise avec nos partenaires clés
Devops/
InfrastructurePerformances &
Développement
Java/EE
Integration
& APIs
Web
Mobility
8Jasmine Conseil 2017 – Tous droits réservés
10. De nos jours, des milliards de
composants logiciels sont ré)utilisés
par les projets modernes de
développement, pour la plupart
d’origine Open Source
80-90% du code des applications
modernes provienne
d’assemblage de composants
(frameworks, code utilitaire…)
10Jasmine Conseil 2017 – Tous droits réservés
13. • L’utilisation de JavaScript,
de Node.js et npm est en
croissance explosive
• Plus de deux fois par
rapport au taux de toute
autre plate-forme logicielle
aujourd'hui
Source modulecounts.com
13Jasmine Conseil 2017 – Tous droits réservés
16. ENTREPOTSPRODUITSFINIS
FABRICANTS
6.1 % des composants
téléchargés sont vulnérables.
5.6 % des composants
téléchargés dans les dépôts
sont vulnérables.
6.8% des composants
embarques dans les
applicationssont vulnérables.
16Jasmine Conseil 2017 – Tous droits réservés
17. ENTREPOTSPRODUITSFINIS
FABRICANTS
87% des inclusions Handlebars
sont connus pour être
vulnérables.
37% des inclusions jQuery sont
connuspour être vulnérables.
40% des inclusions AngularJS sont
connus pour être vulnérables
https://docs.angularjs.org/guide/secu
rity .
Source, http://www.securitynewspaper.com/2017/03/10/third-websites-use-outdated-vulnerable-javascript-libraries/
17Jasmine Conseil 2017 – Tous droits réservés
18. Source: 2014 Sonatype Open Source Development and Application Security Survey, and Sonatype’s 2017
DevSecOps Community survey
18Jasmine Conseil 2017 – Tous droits réservés
Question: Est ce que vous possédez une politique de licence dédiée a la gestion de vos composants
d’origine Open source ?
19. • Le plus souvent, la politique open source est écrite par le département Systèmes
d'information et appliquée aveuglément dans une lettre, mais pas dans l'esprit : une
bonne politique open source est mieux écrite et définie par ceux qui sont touchés par
les ingénieurs de terrain et les équipes de distribution - en tant qu’acteurs principaux,
les services informatiques et juridiques restant des acteurs secondaires.
• Acceptez la réalité des logiciels open source et son utilisation, et regardez cela
comme un facilitateur. De nombreuses organisations voient l’Open Source avec une
vue trop pessimiste plutôt que comme un facilitateur commercial. La source libre est
maintenant une réalité. Les composants Open Source forment des éléments
essentiels de l'architecture des solutions aujourd'hui.
• Reconnaître les différentes utilisations pour les programmes et les outils de l’open
source : toutes les utilisations des logiciels libres ne sont pas égales.
19Jasmine Conseil 2017 – Tous droits réservés
22. • Un référentiel centralisé
pour gérer tous les
formats courants de
composants.
• Stockage et distribution
de Maven/Java, npm,
NuGet,RubyGems,
Docker, RPMs
• Repository Health Check
permettant une veille
constante des
composants entrant
dans vos dépôts.
• Audit des composants en
termede vulnérabilités,
du support du typede
licence.
• Personnalisation des
règles qui permet de
décider quels sont les
composants valides et
ceux qui ne le sont pas.
• Intégration dans vos outils
de développement (IDE,
CI, …) favoris une
inspection intelligente des
composants de votre
chaine
d’approvisionnement
logicielle
• Empêche les
composants indésirables
de s’introduire dans
votre chaine
d’approvisionnement
logicielle.
• Met en place des règles
de filtrage pour
empêcher certains
composants indésirables
de s’introduire dans
votre système mais aussi
de sortir.
NexusRepository NexusFirewall NexusLifecycle NexusAuditor
Automatisation de la chaine d’approvisionnement
logicielle
Jasmine Conseil 2017 – Tous droits réservés
25. 25Jasmine Conseil 2017 – Tous droits réservés
• Support du « Repository Health Check » : connaître les problèmes de licence ou de
sécurité affectant son composant dans son dépôt (serveur Nexus IQ)
• Recherche de n’importe quel composant, quel que soit le dépôt ou il est stocké
• Support des dépôts Raw : possibilité d’héberger n’importe quel type de contenu,
par exemple des pages Web comme de la documentation Maven
• REST et l’API d’intégration pour faciliter l’administration (gestion des utilisateurs, des
dépôts…) et le provisionnement d’autres taches
• Installation facilitée pour une installation personnalisée, ou via une image docker
• Nexus Repository Version 3 supporte de nouveaux dépôts comme Docker et Bower en plus des
packages habituels comme JAR/WAR/EAR supportes par les dépôts Maven
• Support de la communauté .Net avec le support des dépôts NuGet
29. • Commercial use
• Can distribute
• Can modify
• Include copyright
• Include license*
• No liability*
• No trademark
use*
• Disclose source
of modified
components
• Unspecified • Disclose Source
with distribution
• Disclose Source
to consumers of
service
• Customer defined
Liberal Weak Copyleft Non Standard Copyleft Banned
Least Restrictive=Least Risk Most Restrictive=Most Risk
+ + + +
CONFIDENTIAL - Copyright 2017Sonatype, Inc. (Content maynot bedistributed, reused, modified, or transmitted)
29
Jasmine Conseil 2017 – Tous droits réservés
Les 5 groupes de licence libre par ordre croissant de restriction :
30. 30
pour l’intégration de tout votreUn point d’entrée unique
écosystème de développement
Jasmine Conseil 2017 – Tous droits réservés
31. 31
Nexus Life Cycle, le catalyseur des bonnes pratiques
logicielles : l’Infrastructure en pratique
Jasmine Conseil 2017 – Tous droits réservés