Dans un monde où la sécurité de la supply chain logicielle devient cruciale, Hervé Boutemy partagera son expertise approfondie sur les builds reproductibles.

Avec plus de 20 ans d'expérience en développement Java et en tant que contributeur aux projets Apache Maven et Reproducible Builds, il nous expliquera comment garantir l'intégrité de nos builds et nous protéger contre les vulnérabilités potentielles.

Les Builds Reproductibles sont préconisés pour le niveau 4 de SLSA, pour atteindre le plus haut niveau de confiance sur un logiciel. Un tel niveau semble totalement inaccessible pour un projet normal.

En réalité, la plupart des distributions Linux ont implémenté les Builds Reproductibles ces 10 dernières années. Et depuis 5 ans, cela a été appliqué à de nombreux projets Open Source Java avec succès : plus de 2000 releases vérifiées reproductibles ont été publiées sur Maven Central par 500 projets, et ces chiffres ne cessent de croître.

Dans cette session, nous démistyfierons les pratiques pour les Builds Reproductibles telles qu'elles ont été éprouvées et améliorées sur le terrain. Nous expliquerons les outils utiles pour améliorer vos builds Maven et vérifier qu'ils sont réellement reproductibles : vous verrez, ce travail est riche d'enseignements utiles bien au delà de la sécurité.

Attention : si vous dormez pendant la session, vous aurez une sale note au quizz final permettant de vérifier les compétences acquises...