Formation Chainguard : sécuriser la supply chain logicielle

Programme de notre formation Chainguard

[Jour 1 – Matin]

Comprendre Chainguard et les enjeux de supply chain security

• Comprendre le rôle de Chainguard dans une stratégie DevSecOps moderne
• Identifier les risques liés aux images conteneurs : CVE, dépendances obsolètes, images trop larges et absence de traçabilité
• Comprendre les principes de Supply Chain Security : provenance, signatures, attestations, SBOM et conformité
• Positionner Chainguard face aux approches classiques de scan, patching et durcissement d’images
• Découvrir l’écosystème Chainguard : Chainguard Containers, Wolfi, apko, melange, Sigstore et Cosign
• Atelier pratique : analyser une image standard, identifier ses vulnérabilités et comparer l’approche avec une image Chainguard

[Jour 1 – Après-midi]

Images durcies, SBOM et réduction de surface d’attaque

• Comprendre la philosophie des images minimalistes et distroless
• Utiliser les Chainguard Containers pour remplacer des images applicatives classiques
• Réduire la surface d’attaque en supprimant shells, gestionnaires de paquets et dépendances inutiles
• Comprendre le rôle des SBOM pour inventorier les composants logiciels embarqués
• Lire et exploiter les métadonnées associées à une image conteneur
• Atelier pratique : remplacer une image de base par une image Chainguard et comparer taille, dépendances et vulnérabilités

Signatures, attestations et vérification avec Cosign

• Comprendre les signatures d’images, attestations et preuves de provenance
• Utiliser Sigstore et Cosign pour vérifier l’authenticité d’une image
• Récupérer et vérifier les SBOM associés à une image Chainguard
• Comprendre les niveaux de conformité SLSA et leur intérêt pour les audits
• Mettre en place une vérification reproductible dans un workflow d’équipe
• Atelier pratique : vérifier la signature, la provenance et le SBOM d’une image Chainguard avec Cosign

[Jour 2 – Matin]

Intégration CI/CD et politique de sécurité conteneurs

• Intégrer Chainguard dans une chaîne CI/CD existante
• Automatiser la vérification des images, signatures, SBOM et attestations
• Mettre en place des règles de blocage sur les images non conformes
• Définir une politique d’usage des images de base dans l’organisation
• Réduire le bruit des scanners et prioriser les vulnérabilités réellement exploitables
• Atelier pratique : ajouter une étape de vérification d’image dans une pipeline CI/CD

[Jour 2 – Après-midi]

Kubernetes, admission control et déploiement sécurisé

• Comprendre les risques liés au déploiement d’images non maîtrisées dans Kubernetes
• Définir des règles d’admission pour contrôler les images autorisées
• Valider les signatures et métadonnées avant déploiement
• Organiser une stratégie d’images de confiance par environnement
• Aligner Chainguard avec les pratiques GitOps, Platform Engineering et DevSecOps
• Atelier pratique : définir une politique de déploiement Kubernetes basée sur des images vérifiées

Gouvernance, migration et cas final

• Construire une stratégie de migration depuis des images classiques vers des images Chainguard
• Définir les responsabilités entre équipes DevOps, sécurité, développement et plateforme
• Mettre en place une gouvernance des images : catalogue interne, exceptions, validation et suivi
• Préparer les éléments attendus en audit : SBOM, provenance, signatures et politique de contrôle
• Identifier les limites, coûts, prérequis et critères de succès d’un déploiement Chainguard
• Atelier pratique : concevoir une trajectoire de sécurisation de la supply chain conteneurisée pour une application d’entreprise