Dans le cadre professionnel, j'ai été amené à faire une séance de formation / présentation à mes collègues de "comment je fais de la veille opensource". J'ai repris sous la forme d'une présentation des éléments que l'on peut trouver éparpiller dans mes billets de blogs écrit au fil des années. La présentation n'a pas été filmée, le support a été modifié / adapté pour une libre diffusion en ligne. Je le mets à disposition ici en visionnage, si cela peut être utile à d'autres personnes.
1. En 2021, comment je fais de la veille opensource
Genma
Veille opensource
Genma En 2021, comment je fais de la veille opensource 1 / 51
2. Ordre du jour
Rappel des besoins
Les problématiques
La sécurité
Faire de la veille : processus, outillage, sources. . .
La plateforme de veille
Questions/réponses & brainstorming
Genma En 2021, comment je fais de la veille opensource 2 / 51
4. Objectifs de la veille
Chaque mois, je dois préparer et présenter des slides sur :
L’actualité Opensource ;
De la veille & Alertes sécurité.
Genma En 2021, comment je fais de la veille opensource 4 / 51
6. Définir le périmètre
Qu’est ce qui relève de la sécurité ?
Qu’est ce qui relève de la veille / actualités ?
Actualités logiciels
Actualités opensource en général
Genma En 2021, comment je fais de la veille opensource 6 / 51
8. Le CERT-FR - https://www.cert.ssi.gouv.fr/
Genma En 2021, comment je fais de la veille opensource 8 / 51
9. Le CERT-FR - https://www.cert.ssi.gouv.fr/
Topologie d’une alerte CERT-FR
Alertes de sécurité : Les alertes sont des documents destinés
à prévenir d’un danger immédiat ;
Avis de sécurité : Les avis sont des documents faisant état de
vulnérabilités et des moyens de s’en prémunir ;
Indicateurs de compromission : Les indicateurs de
compromission, qualifiés ou non par l’ANSSI, sont partagés à
des fins de préventions.
Genma En 2021, comment je fais de la veille opensource 9 / 51
10. Exemple d’une alerte CERT 1/3
Genma En 2021, comment je fais de la veille opensource 10 / 51
11. Exemple d’une alerte CERT 2/3
Multiples vulnérabilités dans Mozilla Foundation Firefox
Référence : CERTFR-2020-AVI-660
Date de la première version : 21 octobre 2020
Source(s) : Bulletin de sécurité Mozilla Foundation
mfsa2020-45 du 20 octobre 2020
Risque(s) :
Non spécifié par l’éditeur
Exécution de code arbitraire
Déni de service
Contournement de la politique de sécurité
Atteinte à la confidentialité des données
Systèmes affectés :
Firefox versions antérieures à 82
Firefox ESR versions antérieures à 78.4
Genma En 2021, comment je fais de la veille opensource 11 / 51
12. Exemple d’une alerte CERT 3/3
Multiples vulnérabilités dans Mozilla Foundation Firefox (suite)
Résumé : De multiples vulnérabilités ont été découvertes dans
Mozilla Foundation Firefox. Certaines d’entre elles permettent
à un attaquant de provoquer un problème de sécurité non
spécifié par l’éditeur, une exécution de code arbitraire et un
déni de service.
Solution : Se référer au bulletin de sécurité de l’éditeur pour
l’obtention des correctifs (cf. section Documentation).
Documentation :
Bulletin de sécurité Mozilla Foundation mfsa2020-45 du 20
octobre 2020
Bulletin de sécurité Mozilla Foundation mfsa2020-46 du 20
octobre 2020
Référence CVE CVE-2020-15969
(. . . )
Genma En 2021, comment je fais de la veille opensource 12 / 51
14. Curation ?
Définition de la curation
La curation de contenu est une pratique qui consiste à
sélectionner, éditer et partager les contenus les plus pertinents
du Web pour une requête ou un sujet donné.*
Objectifs
Définir les canaux pour la veille entrante
Définir le meilleur processus de veille : optimisation /
lifehacking
Genma En 2021, comment je fais de la veille opensource 14 / 51
15. Comment les gens font leurs veilles ?
Genma En 2021, comment je fais de la veille opensource 15 / 51
17. Comment je fais ma veille ?
Genma En 2021, comment je fais de la veille opensource 17 / 51
18. Outillage - les logiciels
Genma En 2021, comment je fais de la veille opensource 18 / 51
19. Outillage - les logiciels
Des briques logiciels libres
Autohébergées sur un serveur personnel
Compatible avec des applications mobiles : synchronisation,
consultation depuis le smartphone
Logiciels & liens
FreshRSS : https://github.com/FreshRSS/FreshRSS
RSSBridge : https://github.com/RSS-Bridge/rss-bridge
Wallabag : https://github.com/wallabag/wallabag
Shaarli : https://github.com/shaarli/Shaarli
Genma En 2021, comment je fais de la veille opensource 19 / 51
20. Agrégateur RSS : FreshRSS
Genma En 2021, comment je fais de la veille opensource 20 / 51
21. Générateur de RSS : RSSBridge 1/2
Genma En 2021, comment je fais de la veille opensource 21 / 51
22. Générateur de RSS : RSSBridge 2/2
Genma En 2021, comment je fais de la veille opensource 22 / 51
23. Lecteur (type Pocket) : Wallabag
Genma En 2021, comment je fais de la veille opensource 23 / 51
40. Podcast
Sur le smartphone, dans les transports en commun :
Actualité Logiciel libre
Libre à vous !, l’émission pour comprendre et agir avec l’April,
chaque mardi de 15 h 30 à 17 h sur la radio Cause Commune (93.1
FM en Île-de-France et sur Internet).
https://april.org/les_podcasts_libre_a_vous
Actualité Sécurité informatique
NoLimitSecu est un podcast indépendant, animé par des personnes
passionnées qui sont parties prenantes dans le domaine de la
cybersécurité à des rôles et dans des entreprises diverses. Podcast
dédié à la cyber sécurité : https://www.nolimitsecu.fr/
Genma En 2021, comment je fais de la veille opensource 40 / 51
41. Youtube ? Pas pertinant !
Les vidéos “informatiques” sont souvent des tutoriels.
Et je fais comment les copier-coller des commandes : vaut
mieux un tutoriel écrit à l’ancienne.
Des vidéos des conférences / évenements à voir ?
Nécessite d’être au courant de l’évenement, du programme
associé, de répérer les conférences intéressantes et pertinantes.
Et surtout de traiter l’information ensuite : avoir un écrit
exploitable.
Rq : même problématique que d’assister à des conférences en direct
ou de participer à des événéments.
Genma En 2021, comment je fais de la veille opensource 41 / 51
42. Outillage - La presse !
Genma En 2021, comment je fais de la veille opensource 42 / 51
46. Objectifs du tableau
Avoir des fiches avec un contenu fixe :
Liens vers le site internet, le blog, le forum, la mailing-liste
Lien vers le code source / Github
Lien vers le compte twitter
Description
Et évolutif :
Dernières actualités du logiciel : nouveautés, sorties de versions
Alertes de sécurité liées
Genma En 2021, comment je fais de la veille opensource 46 / 51
47. Centralisation de la veille
Format universel : Markdown
Genma En 2021, comment je fais de la veille opensource 47 / 51
48. Quelles informations remontées au client ?
Sécurité
Cf la partie sécurité et les alertes des logiciels au périmètre du
support
Actualités logiciels
Dernières versions, fonctionnalités associées (les releases notes
améliorées de façon pertinantes)
Actualités opensource en général
Articles de presse, tendances. . .
Genma En 2021, comment je fais de la veille opensource 48 / 51
50. La demande
Vous serait-il possible de partager (un lien suffit) dans le canal
ouvert « Veille Opensource » de Mattermost, des liens issus de
votre veille personnelle et/ou professionnelle.
Si vous avez des outils particuliers, des astuces, des sites
Internet de références à conseiller pour suivre et faire de la
veille autour de l’opensource, je suis preneur.
Genma En 2021, comment je fais de la veille opensource 50 / 51