DevSecOps++

Dojo-101-Apprentissage/51-MESP-Audit-Github.md

@@ -20,10 +20,15 @@ Ce contenu est publié sous licence "GNU GENERAL PUBLIC LICENSE Version 3" et le
 En tant que consultant DevOps. Vous devez examiner le dépôt GitHub en question afin d'identifier les mauvaises pratiques, en particulier en termes de sécurité :
 
 1. **Sécurité des dépôts** : Vérifiez si des données sensibles sont exposées dans le code ou les fichiers de configuration.
+
 2. **Gestion des dépendances** : Assurez-vous que toutes les dépendances sont à jour et ne présentent pas de vulnérabilités connues.
+
 3. **Pratiques CI/CD** : Examinez les pipelines d'intégration et de déploiement continus pour identifier les améliorations potentielles.
+
 4. **Tests** : Vérifiez la couverture des tests et la qualité des tests unitaires et d'intégration.
+
 5. **Documentation** : Assurez-vous que le code est bien documenté et facile à comprendre.
+
 6. **Conformité aux normes de codage** : Vérifiez si le code suit les meilleures pratiques et les normes de codage.
 
 Vous pouvez forker le projet afin d'y tester différents outils et fonctionalités.

Dojo-101-Apprentissage/52-MESP-DevSecOps-Post-Pentest.md

@@ -9,17 +9,24 @@ Ce contenu est publié sous licence "GNU GENERAL PUBLIC LICENSE Version 3" et le
 ## Ressources
 
 * [Target Of Evaluation](https://github.com/Aif4thah/VulnerableLightApp)
+
 * [Nuclei](https://github.com/projectdiscovery/nuclei)
+
 * [Gestes professionnels](https://github.com/Aif4thah/Dojo-101)
+
 * [Chaine DevOps](https://learn.microsoft.com/fr-fr/azure/cloud-adoption-framework/ready/considerations/devops-toolchain#azure-devops-and-github-toolchain)
 
 
+
 ## Contexte
 
-Afin de tester les vulnérabilités découverte lors de l'audit, lors des prochains tests de non-régression, l'équipe Dev demande : 
+Afin de tester les vulnérabilités découvertes lors de l'audit, lors des prochains tests de non-régression (TNR), l'équipe Dev demande : 
+
+1. La mise en place d'un **Kanban** avec des **User Stories** dans un **backlog** leur permettant d'éstimer le travail à réaliser pour patcher l'application. 
 
-* La mise en place d'un **Kanban** avec des **UserStories** dans un **backlog** leur permettant d'atteindre une application patché des vulnérabilités découvertes. 
-* la livraison de templates nuclei ou d'un **script** bash/powershell ou des **tests unitaires** spécifiques en C# permettant de tester les vulnérabilités découvertes lors du test d'intrusion.
+2. la création de templates nuclei ou d'un **script** bash/powershell ou des **tests unitaires** spécifiques en C# permettant de tester les vulnérabilités découvertes lors du test d'intrusion.
+
+3. la mise en place des ces tests à chaque *git push* grâce à leur **intégration aux canaux CI/CD**.
 
 
 ## Modalités pédagogiques
@@ -29,13 +36,17 @@ Binôme ou seul (au choix)
 ## Modalités d'évaluation
 
 * Test du script ou des templates
+
 * Lecture du KanBan
 
+
 ## Livrables
 
 * Script ou templates Nuclei
+
 * Kanban
 
+
 ## Critères de performance
 
 * Pertinence des livrables

Dojo-101-Apprentissage/53-MESP-Github-CICD.md

@@ -16,6 +16,7 @@ Ce contenu est publié sous licence "GNU GENERAL PUBLIC LICENSE Version 3" et le
 * [Github security on MS learn](https://learn.microsoft.com/en-us/collections/rqymc6yw8q5rey)
 * [Pentest-Ground](https://pentest-ground.com)
 * [Blog Github Security](https://github.blog/category/security/)
+* [Octoscan](https://github.com/synacktiv/octoscan)
 
 ## Contexte
 

Dojo-101-DevSec/README.md

@@ -23,7 +23,9 @@
 
 ## Integration de la la sécurité aux canaux CI/CD
 
-[Chaine DevOps](https://learn.microsoft.com/fr-fr/azure/cloud-adoption-framework/ready/considerations/devops-toolchain#azure-devops-and-github-toolchain)
+* [Chaine DevOps](https://learn.microsoft.com/fr-fr/azure/cloud-adoption-framework/ready/considerations/devops-toolchain#azure-devops-and-github-toolchain)
+
+* [Scan des CI/CD - Octoscan](https://github.com/synacktiv/octoscan)
 
 ### CI - Intégration continue