1 of 11

DashLord

Tableau de bord des métriques techniques

��

code source

2 of 11

Objectifs

  • Vue consolidée des indicateurs techniques pour les web apps�
  • Mise à jour régulière et automatique�
  • Proposer des remédiations actionnables et pédagogiques�
  • Exposer les rapports détaillés pour analyse manuelle

3 of 11

4 of 11

5 of 11

Historique

6 of 11

Fonctionnement

  • Déclaration des urls à scanner dans un YAML
  • Des runners GitHub exécutent les scans et mettent à jour le rapport (schedule)
  • Les données sont historisées dans GIT
  • Fonctionnement 100% gratuit sur GitHub (rapports publics)

7 of 11

Scope

  • performance et bonnes pratiques web (lighthouse)
  • sécurité : headers, scan owasp, scans statiques, scan de ports + vulns, ssl, docker…
  • maintenance : dépendances
  • conformité : a11y et conformité
  • trackers et scripts third-parties
  • disponibilité et temps de réponse (updown)
  • stack technologique

8 of 11

Roadmap

  • Intégration de nouveaux indicateurs :
    • sonarcloud ✅
    • semgrep
    • repolinter
    • carbon footprint ✅
    • renovate�
  • Ajout de recommandations (priorités)�
  • Pouvoir accéder à des sites non publics (réseaux internes)�
  • Pouvoir l’utiliser hors runners GitHub

9 of 11

Customisation

  • les workflows/actions peuvent être modifiées/activés sur chaque dashlord
  • possibilité d’ajouter ses propres scanners
  • possibilité de modifier le rendu (report)
  • possibilité d’avoir une version privée avec certains indicateurs�

Ajouter un scanner :

  • créer une action dédiée qui produit du JSON
  • importer ce JSON dans le rapport final sur GIT (report.json)
  • Afficher ces données dans le site web du rapport
  • cf documentation

10 of 11

Limitations

  • Scan uniquement des ressources publiques (sites, GIT, docker…)�
  • Dépendance GitHub�
  • Difficulté d’apprécier la criticité/exploitabilité de certains indicateurs sécu

11 of 11

Merci

https://github.com/SocialGouv/dashlord

Créer votre DashLord maintenant :