/ SPEAKER
Hervé Boutemy
Sonatype
Hervé Boutemy travaille comme Architecte Solutions chez Sonatype sur des thèmes liés à la Software Supply Chain.Tombé dans Java quand Java était tout petit, puis dans l'Open Source au sein de la Fondation Apache, Hervé est un mainteneur actif d'Apache Maven depuis près de 20 ans.
La gestion de dépendances est une partie cruciale mais complexe du développement d'applications modernes, souvent enveloppée de mystère et, avouons-le, parfois source d'angoisse ! Le périple commence dans le domaine de la JVM, où Gradle et Maven proposent des approches divergentes pour la résolution des dépendances, la gestion des conflits et les mécanismes de contrôle par l'utilisateur. Élargir le champ d'application à l'univers NPM révèle encore plus de contrastes.
Les différences clés émergent à partir de la gestion des dépôts centraux - comme Maven Central ou NPM registry - notamment en termes de confiance et de sécurité. Au sein d'un projet, le processus de résolution, les mécanismes de mise en cache et d'autres facteurs peuvent avoir un impact significatif sur la fiabilité et la reproductibilité des builds. Ces éléments influencent également ce qui apparaît dans les Software Bill Of Materials (SBOMs) et comment des outils comme GitHub fournissent des informations sur les graphes de dépendances pour les projets hébergés.
Cette session vise à doter les participants de connaissances approfondies sur ces paysages variés. Comprendre les subtilités, les choix et les limites des technologies utilisées est essentiel. Notre objectif est de vous fournir les connaissances et stratégies nécessaires pour éviter le redouté 'enfer des dépendances' dans votre prochain projet, assurant ainsi un processus de publication et de release fluide et sécurisé.
More Les différences clés émergent à partir de la gestion des dépôts centraux - comme Maven Central ou NPM registry - notamment en termes de confiance et de sécurité. Au sein d'un projet, le processus de résolution, les mécanismes de mise en cache et d'autres facteurs peuvent avoir un impact significatif sur la fiabilité et la reproductibilité des builds. Ces éléments influencent également ce qui apparaît dans les Software Bill Of Materials (SBOMs) et comment des outils comme GitHub fournissent des informations sur les graphes de dépendances pour les projets hébergés.
Cette session vise à doter les participants de connaissances approfondies sur ces paysages variés. Comprendre les subtilités, les choix et les limites des technologies utilisées est essentiel. Notre objectif est de vous fournir les connaissances et stratégies nécessaires pour éviter le redouté 'enfer des dépendances' dans votre prochain projet, assurant ainsi un processus de publication et de release fluide et sécurisé.
Les Builds Reproductibles sont préconisés pour le niveau 4 de SLSA, pour atteindre le plus haut niveau de confiance sur un logiciel. Un tel niveau semble totalement inaccessible pour un projet normal.
En réalité, la plupart des distributions Linux ont implémenté les Builds Reproductibles ces 10 dernières années. Et depuis 5 ans, cela a été appliqué à de nombreux projets Open Source Java avec succès : plus de 2000 releases vérifiées reproductibles ont été publiées sur Maven Central par 500 projets, et ces chiffres ne cessent de croître.
Dans cette session, nous démistyfierons les pratiques pour les Builds Reproductibles telles qu'elles ont été éprouvées et améliorées sur le terrain. Nous expliquerons les outils utiles pour améliorer vos builds Maven et vérifier qu'ils sont réellement reproductibles : vous verrez, ce travail est riche d'enseignements utiles bien au delà de la sécurité.
Attention: si vous dormez pendant la session, vous aurez une sale note au quizz final permettant de vérifier les compétences acquises...
More En réalité, la plupart des distributions Linux ont implémenté les Builds Reproductibles ces 10 dernières années. Et depuis 5 ans, cela a été appliqué à de nombreux projets Open Source Java avec succès : plus de 2000 releases vérifiées reproductibles ont été publiées sur Maven Central par 500 projets, et ces chiffres ne cessent de croître.
Dans cette session, nous démistyfierons les pratiques pour les Builds Reproductibles telles qu'elles ont été éprouvées et améliorées sur le terrain. Nous expliquerons les outils utiles pour améliorer vos builds Maven et vérifier qu'ils sont réellement reproductibles : vous verrez, ce travail est riche d'enseignements utiles bien au delà de la sécurité.
Attention: si vous dormez pendant la session, vous aurez une sale note au quizz final permettant de vérifier les compétences acquises...
English 
Français