Ingénierie de la sécurité pour les pipelines CI/CD et les chaînes d’approvisionnement logicielles
Secure Pipelines est un hub de connaissances techniques dédié à la sécurisation des pipelines CI/CD, GitOps et de livraison logicielle. Ingénierie de sécurité pratique, implémentations concrètes et labs pratiques — du code à la production.
Conçu par des praticiens, pour des praticiens.
Commencez ici
Nouveau en sécurité CI/CD ? Commencez par ces guides complets :
- Le guide complet de la sécurité des pipelines CI/CD — Tout ce que vous devez savoir sur la sécurisation des pipelines, des frontières de confiance aux contrôles de déploiement.
- Sécurité de la chaîne d’approvisionnement logicielle : guide complet — Dépendances, intégrité des builds, signature des artefacts, provenance et SBOMs.
- Menaces et attaques CI/CD : ce que ciblent les attaquants — Techniques d’attaque réelles et comment s’en défendre.
Guides par plateforme
| Plateforme | Guide de référence | Cheat Sheet | Lab pratique |
|---|---|---|---|
| GitHub Actions | Guide de sécurité | Cheat Sheet | Lab de durcissement |
| GitLab CI | Guide de sécurité | Cheat Sheet | Lab de sécurisation |
| Tekton | — | Lab Tekton Chains | |
Guides à la une
- Signature et vérification des images de conteneurs avec Sigstore et Cosign
- Gestion des secrets dans les pipelines CI/CD : bonnes pratiques, anti-patterns et intégration Vault
- Provenance des artefacts et attestations : de SLSA à in-toto
- Credentials éphémères et Workload Identity Federation
- Policy as Code pour CI/CD : appliquer des portes de sécurité avec OPA et Rego
- Dependency Confusion et empoisonnement d’artefacts : techniques d’attaque et défenses
- Patterns défensifs et mesures d’atténuation pour les attaques de pipelines CI/CD
- Modèles d’exécution CI/CD et hypothèses de confiance
- Séparation des responsabilités et moindre privilège dans les pipelines CI/CD
- Intégrité des builds et builds reproductibles
Labs pratiques
Exercices pas à pas avec de vraies configurations CI/CD, des exemples YAML et des scénarios d’échec.
Attaque et défense
- Poisoned Pipeline Execution (PPE) — Exploiter et défendre
- Simulation d’attaque Dependency Confusion
- Détection de GitHub Actions malveillantes
- Falsification et détection d’artefacts
- Détection et prévention des fuites de secrets
Chaîne d’approvisionnement et signature
- Signature d’images de conteneurs avec Cosign dans GitHub Actions
- Génération et vérification de la provenance SLSA
- Pipeline SBOM avec Syft et Cosign
- Builds de conteneurs reproductibles
Durcissement des plateformes
- Durcissement des workflows GitHub Actions
- Sécurisation des pipelines GitLab CI
- OIDC Workload Identity pour GitHub Actions avec AWS
- Runners éphémères avec Actions Runner Controller
- Politiques Kubernetes avec OPA Conftest
- Pipeline de build sécurisé avec Tekton Chains
Comparatifs d’outils
Vous cherchez les bons outils ? Ces comparatifs détaillés vous aident à choisir.
- Scanners de sécurité : Trivy vs Grype vs Snyk vs Checkov
- Outils de signature : Cosign vs Notation vs GPG
- Outils SBOM : Syft vs Trivy vs CycloneDX CLI
- Moteurs de politiques : OPA vs Kyverno vs Sentinel vs Cedar
Références rapides
- OWASP Top 10 des risques CI/CD — Expliqués avec des exemples concrets
- Niveaux SLSA — Checklist de conformité pratique
- GitHub Actions Security Cheat Sheet
- GitLab CI Security Cheat Sheet
→ Parcourir toutes les ressources et outils
Explorer par thème
| Thème | Ce qu’il couvre | Commencez ici |
|---|---|---|
| Sécurité CI/CD | Frontières de confiance, permissions, secrets, contrôles de déploiement | Guide complet |
| Chaîne d’approvisionnement | Dépendances, builds, signature, provenance, SBOMs | Guide complet |
| GitHub Actions | Workflows, permissions, runners, OIDC, actions tierces | Guide de référence |
| GitLab CI | Variables, runners, environnements, tokens, déploiements | Guide de référence |
| Menaces et attaques | PPE, dependency confusion, vol de credentials, falsification d’artefacts | Guide des menaces |
| Durcissement des pipelines | Isolation des runners, restrictions réseau, moindre privilège | Guide de durcissement |
À qui s’adresse ce site
Secure Pipelines est conçu pour les équipes d’ingénierie exploitant des pipelines en production :
- Ingénieurs DevOps — durcir les pipelines que vous construisez et maintenez
- Ingénieurs plateforme — concevoir une infrastructure CI/CD sécurisée à grande échelle
- Ingénieurs sécurité — évaluer et améliorer la posture de sécurité des pipelines
- Praticiens DevSecOps — intégrer la sécurité dans les workflows de livraison
- Architectes techniques — concevoir des modèles de confiance et des architectures de contrôle
Pas de battage commercial. Pas de checklists superficielles. Juste de la sécurité pratique, orientée ingénierie.
L’écosystème
Secure Pipelines fait partie d’un écosystème à deux sites :
- Secure Pipelines — Implémentation technique : comment construire, durcir et défendre les pipelines CI/CD.
- Regulated DevSecOps — Gouvernance et conformité : comment gouverner, auditer et certifier ces contrôles (ISO 27001, NIS2, SOC 2).
Ensemble, ils fournissent les perspectives d’ingénierie et de gouvernance nécessaires pour sécuriser la livraison logicielle moderne.
La sécurité CI/CD doit être conçue dès le départ, pas ajoutée après coup.
