Humanix-Cybersecurity Logo
DevSecOps

Maîtriser vos dépendances logicielles : SBOM, versions & supply chain

Reprenez le contrôle de vos dépendances : SBOM, gestion des versions, cycle de vie et surveillance, sans embarquer le superflu en prod.

Durée
21h · 3 modules de 7h
Public visé
Développeurs, lead tech, ops, DevSecOps engineers souhaitant maîtriser leurs dépendances logicielles et leur supply chain.
Tarif inter
1 800 € HT / stagiaire (parcours 21h)
À la carte : 600 € HT / stagiaire (module 7h)
Tarif intra
5 000 € HT / groupe jusqu'à 8 stagiaires (parcours 21h)
À la carte : 1 800 € HT / groupe (module 7h)

Format modulaire : parcours de 21h en 3 modules de 7h. Suivez le parcours complet ou seulement les modules de 7h qui vous intéressent, à la carte.

Objectifs pédagogiques

  • Cartographier l'ensemble des dépendances directes et transitives d'un projet
  • Générer et exploiter un SBOM (CycloneDX, SPDX) avec des outils comme Syft
  • Évaluer le risque d'une dépendance : maintenance, licence, réputation, typosquatting
  • Appliquer une stratégie de versionnement maîtrisée (semver, lockfiles, pinning)
  • Automatiser la mise à jour des dépendances (Dependabot, Renovate) sans casser la production
  • Séparer les dépendances de développement de celles de production et éviter de les embarquer
  • Détecter les dépendances vulnérables en continu (SCA : Trivy, Grype, OSV-Scanner)
  • Mettre en place une gouvernance des dépendances et une veille sur leur cycle de vie

Prérequis

Pratique d'un gestionnaire de paquets (npm, pip, Maven, Composer ou équivalent). Bases en CI/CD et en conteneurisation Docker. Notions de Git.

Programme détaillé

M1

Cartographier & comprendre ses dépendances · module 7h

  • Pourquoi les dépendances sont le maillon faible : panorama des incidents supply chain récents
  • REX terrain : une bibliothèque de développement embarquée en prod exposant une route de debug
  • Dépendances directes vs transitives : l'arbre réel d'un projet (npm, pip, Maven, Composer)
  • SBOM : formats CycloneDX et SPDX, à quoi ça sert, ce qu'attendent NIS2 et le CRA
  • Atelier : générer le SBOM d'un projet avec Syft, lire et exploiter le résultat
  • Évaluer une dépendance : activité du projet, mainteneurs, licence, typosquatting, abandon
  • Atelier : auditer les dépendances d'un projet et identifier les plus risquées
M2

Versions, cycle de vie & séparation dev/prod · module 7h

  • Versionnement sémantique (semver) : lire, comprendre, anticiper les ruptures
  • Lockfiles et pinning : garantir des builds reproductibles
  • Stratégie de mise à jour : Dependabot / Renovate, regroupement, tests automatisés, cadence
  • Cycle de vie et fin de support (EOL) : repérer et remplacer les dépendances dépréciées
  • Dépendances de dev vs de prod : pourquoi ne jamais embarquer le superflu en production
  • Builds propres : multi-stage Docker, prune des devDependencies, images minimales
  • Atelier : nettoyer un projet, séparer dev/prod et réduire la surface embarquée
M3

Surveiller & gouverner dans la durée · module 7h

  • Analyse de composition logicielle (SCA) : Trivy, Grype, OSV-Scanner, intégration en CI
  • Veille : advisories GitHub, OSV, CVE, abonnements et automatisation
  • Signaux de compromission d'une dépendance : version suspecte, mainteneur changé, scripts post-install
  • Politique de gouvernance : allow-list, revue des nouvelles dépendances, responsabilités
  • Réagir à une CVE critique : évaluer l'exposition réelle via le SBOM, prioriser, corriger
  • Mise en situation finale : le stagiaire reçoit un projet à risque et produit un plan de maîtrise
  • Feuille de route : intégrer ces pratiques dans le SI du stagiaire

Points forts

Couverture complète du cycle de vie d'une dépendance : choix, versions, surveillance, retrait
SBOM en pratique, aligné sur les attentes NIS2 et CRA
Le piège classique traité de front : ne pas embarquer les bibliothèques de dev en production
Formateur DevSecOps en activité, REX de supply chain réels
Le stagiaire repart avec une politique et des outils réutilisables immédiatement

Ancrage terrain

Retour d'expérience mission (anonymisé)

Audit supply chain d'une PME éditrice SaaS. Une bibliothèque de développement laissée dans le build de production exposait une interface de debug, et une dépendance transitive vulnérable non suivie ouvrait une exécution de code à distance. La remédiation sert de fil rouge à la formation.

Modalités

Modalités pédagogiques
80 % pratique / 20 % théorie. Travail sur des projets réels multi-langages. Chaque outil est utilisé en conditions réalistes. Scénario fil rouge : reprise en main des dépendances d'un projet à risque. REX terrain intégré. Pas de slides sans terminal.
Moyens techniques
Lab avec projets multi-langages (Node.js, Python et un projet conteneurisé). Outils : Syft, Grype, Trivy, OSV-Scanner, Dependabot / Renovate, Docker. Accès individuel.
Évaluation des acquis
Positionnement en amont (questionnaire). Évaluation continue via les ateliers. Mise en situation finale : produire un plan de maîtrise des dépendances d'un projet à risque. Questionnaire de satisfaction.
Modalités d'accès
Inscription par formulaire sur le site ou via Digital 113 / Human Coders. Délai d'accès : 2 à 4 semaines selon le calendrier des sessions.
Accessibilité PSH
Formation accessible aux personnes en situation de handicap. Contactez-nous en amont pour adapter les modalités. Référent handicap : Florian Durano, fdurano@humanix-cybersecurity.fr.

Intéressé par cette formation ?

Inter, intra, sur-mesure, contactez-nous pour un devis ou une session.

Demander un devis Programme PDF One-pager PDF