L’objectif de ce document est de définir les actions manuelles et les outils à mettre en place pour assurer une veille proactive et continue sur les vulnérabilités des composants du Système d’Information (SI). Cela inclut la mise à jour des correctifs de sécurité publiés, l’abonnement à des flux d’information de sécurité et la documentation des processus de mise à jour.
Dependabot est utilisé pour surveiller les dépendances de nos projets et notifier l’équipe technique des mises à jour disponibles, y compris les correctifs de sécurité. Il est intégré avec GitHub et déclenche des pull requests automatiques pour les mises à jour.
SonarCloud est utilisé pour analyser le code source de nos projets afin de détecter les vulnérabilités, les bugs, et les mauvaises pratiques de codage. Il fournit des rapports détaillés et des recommandations pour améliorer la qualité et la sécurité du code.
-
CERT-FR : Abonnez-vous aux alertes et bulletins de sécurité du CERT-FR. CERT-FR.
-
NVD (National Vulnerability Database) : Suivez les mises à jour et les alertes sur les vulnérabilités publiées par la NVD. NVD RSS Feeds.
-
CVE (Common Vulnerabilities and Exposures) : Abonnez-vous aux notifications CVE pour suivre les nouvelles vulnérabilités identifiées. CVE Announcements.
-
Security Mailing Lists : Inscrivez-vous aux listes de diffusion de sécurité des principaux fournisseurs de logiciels et matériels que vous utilisez.
-
GitHub Security Advisories : Suivez les bulletins de sécurité sur GitHub pour les projets que vous utilisez. GitHub Security Advisories.
-
Oracle Security Alerts : Suivez les mises à jour de sécurité pour les produits Oracle, y compris MySQL. Oracle Security Alerts.
-
PHP Group : Surveillez les annonces de sécurité et les versions mises à jour du langage PHP. PHP Security](https://www.php.net/security).
-
Symfony : Consultez les annonces et mises à jour de sécurité pour le framework Symfony. Symfony Security Advisories.
-
Nginx : Suivez les mises à jour de sécurité pour Nginx. Nginx Releases.
Le registre des équipements et applicatifs peut se trouver sur le cloud de l'équipe. Ce registre contient la liste de tous les équipements et applicatifs avec la version utilisée et les versions actuelles, ainsi qu'une procédure de mise à jour.
En cas de vulnérabilité, en informer l'équipe technique sur le canal SML - Tech de Mattermost Créer un ticket sans le publier (pour ne pas le rendre visible) dans la partie https://github.com/MTES-MCT/histologe/security/advisories