Recherche – Aziz Behi
1. Trivy vs Docker Scout vs DefectDojo
• Trivy : Un outil open-source de scanner de sécurité pour les conteneurs, qui vérie les
vulnérabilités dans les images de conteneurs, les congurations Kubernetes, les chiers
IaC, etc. Trivy est réputé pour sa simplicité et sa rapidité.
• Docker Scout : Une extension de Docker pour l’analyse des conteneurs et la génération
de rapports sur les vulnérabilités. Docker Scout est intégré dans Docker Desktop et
permet une analyse en continu pour identier les risques de sécurité et proposer des
solutions.
• DefectDojo : Un outil de gestion des vulnérabilités et de suivi des défauts qui intègre les
résultats de divers scanners (comme Trivy) pour centraliser les informations de sécurité.
C'est une plateforme de gestion des vulnérabilités, idéale pour l’automatisation et
l’analyse des failles de sécurité sur les conteneurs et autres applications.
Comparaison :
• Trivy et Docker Scout sont plus axés sur l'analyse des vulnérabilités dans les conteneurs
et les congurations IaC.
• DefectDojo est une plateforme de gestion des vulnérabilités qui s'intègre à diérents
outils pour centraliser et gérer les données de sécurité. Il n'eectue pas de scan
directement mais compile les résultats de plusieurs scanners, ce qui le rend utile dans
un pipeline DevSecOps.
2. DAST (Dynamic Application Security Testing) Tools
Les outils DAST sont utilisés pour scanner des applications en temps réel (runtime) an
d'identier les vulnérabilités. Voici quelques outils populaires de DAST :
• OWASP ZAP (Zed Attack Proxy) : Un outil DAST open-source permettant de scanner les
applications Web en cours d'exécution.
• Burp Suite : Un autre outil de DAST populaire, particulièrement apprécié pour les tests
de pénétration d'applications Web.
• Acunetix : Un scanner de sécurité automatisé qui analyse les failles de sécurité dans les
applications Web.
• Astra Pentest : Un outil en ligne DAST qui permet de détecter les vulnérabilités et fournit
des rapports complets avec des suggestions de correction.
3. SonarQube
SonarQube est une plateforme open-source qui analyse le code source pour détecter les
erreurs de qualité, les problèmes de sécurité et les vulnérabilités. SonarQube est surtout utilisé
pour le SAST (Static Application Security Testing), aidant à identier les défauts de sécurité, les
bugs et les mauvaises pratiques directement dans le code source. Il prend en charge plusieurs
langages de programmation et est très utilisé dans les environnements CI/CD.
4. SBOM (Software Bill of Materials)
Un SBOM est une liste complète de toutes les bibliothèques, composants, dépendances et
modules présents dans une application logicielle. C'est un inventaire essentiel pour assurer la
Recherche – Aziz Behi
transparence et la traçabilité des dépendances. Les outils comme Trivy et Syft (un outil de
génération d'SBOM) aident à créer ces listes. Avec l'augmentation des exigences de sécurité,
notamment avec la réglementation autour de la sécurité logicielle, les SBOM deviennent
indispensables pour les audits de sécurité et la gestion des risques.
5. WSL (Windows Subsystem for Linux)
WSL est une fonctionnalité de Windows qui permet d'exécuter un environnement Linux
directement sous Windows, sans machine virtuelle dédiée. Cette fonctionnalité est très
appréciée des développeurs car elle permet d'utiliser des outils et des scripts Linux sur une
machine Windows, facilitant le travail en environnement de développement mixte. WSL2, une
version améliorée de WSL, ore une compatibilité et des performances accrues avec le noyau
Linux.
1
/
2
100%