Basé à Ollioules
Naval Group développe et opère Seanergy, une plateforme Cloud privée qui héberge et distribue des applications et services destinés au développement logiciel.
Cette plateforme repose sur des chaînes de développement et de déploiement (CI/CD) complexes, impliquant de nombreux outils, acteurs et étapes d’automatisation.
Dans un contexte de sécurité renforcée et de confiance dans la supply chain logicielle, il devient essentiel de garantir la traçabilité et l’intégrité de chaque étape du cycle de vie logiciel, depuis la construction jusqu’au déploiement.
La technologie In-Toto, un cadre open-source développé par la Linux Foundation, propose une approche normalisée pour attester et vérifier la provenance et l’intégrité des artefacts logiciels.
Ce stage s’inscrit dans cette démarche d’amélioration continue de la sécurité des chaînes CI/CD de la plateforme Seanergy.
Objectif du stage
L’objectif est d’intégrer les attestations In-Toto au sein des pipelines de développement et de livraison sécurisés de Seanergy, afin de :
Garantir la provenance vérifiable des composants logiciels construits sur la plateforme.
Renforcer la chaîne de confiance entre les différentes étapes (build, test, déploiement).
Faciliter la détection d’anomalies ou d’altérations non autorisées dans le flux CI/CD.
Travaux à réaliser
Le ou la stagiaire participera aux étapes suivantes :
1. Analyse du besoin et de l’existant
Étude des pipelines CI/CD en place sur Seanergy (GitLab).
Compréhension des processus de build, test, signature et déploiement.
2. État de l’art
Exploration des standards de sécurité logicielle : In-Toto, SLSA, Sigstore, SBOM.
Étude des mécanismes d’attestation et de vérification de provenance logicielle.
3. Conception et prototypage
Définition du modèle d’attestations adapté à Seanergy.
Intégration d’In-Toto dans les pipelines CI/CD.
Mise en place de la vérification automatique des attestations avant déploiement.
4. Validation et documentation
Démonstration du fonctionnement complet sur un cas d’usage concret.
Rédaction d’une documentation technique et de recommandations pour l’industrialisation.
Environnement technique
Langages : Python, Go, Rust, éventuellement TypeScript/JavaScript pour intégration front
Outils CI/CD : GitLab CI, Harbor, Kubernetes, Helm
Frameworks : LangChain, Hugging Face Transformers, vLLM
Outils : GitLab, IBM Jazz, Seanergy Platform
Sécurité logicielle : In-Toto, SLSA Framework, Cosign / Sigstore, SBOM (CycloneDX, SPDX)
Méthodologie : Agile / DevOps
En cliquant sur "JE DÉPOSE MON CV", vous acceptez nos CGU et déclarez avoir pris connaissance de la politique de protection des données du site jobijoba.com.