Ressources

Cette page regroupe des documents de référence, des outils et des ressources techniques liés à la sécurité des pipelines CI/CD et à la protection de la chaîne d’approvisionnement logicielle.

Les ressources présentées ici sont sélectionnées pour leur pertinence, leur profondeur technique et leur utilité pratique.

Normes et cadres de référence

  • SLSA (Supply-chain Levels for Software Artifacts)
    Cadre visant à améliorer l’intégrité des builds et la traçabilité au sein des chaînes d’approvisionnement logicielles.
  • in-toto
    Cadre permettant de sécuriser l’intégrité des chaînes d’approvisionnement logicielles à l’aide de métadonnées et d’attestations.
  • SSDF (NIST Secure Software Development Framework)
    Recommandations pour intégrer la sécurité tout au long du cycle de vie du développement logiciel.
  • OWASP Top 10 CI/CD Risks
    Modèle de menaces axé sur les risques de sécurité des pipelines CI/CD.

Outils de sécurité CI/CD

  • Sigstore (Cosign, Rekor, Fulcio)
    Ensemble d’outils permettant de signer, vérifier et enregistrer les artefacts logiciels et leurs attestations.
  • Trivy
    Outil d’analyse des vulnérabilités, des configurations et des SBOM pour les conteneurs et les pipelines.
  • Syft
    Outil de génération de SBOM pour les conteneurs et les artefacts issus du code source.
  • Grype
    Scanner de vulnérabilités basé sur l’analyse de SBOM.
  • Checkov
    Outil d’analyse statique pour l’infrastructure as code et les configurations de pipelines.

Application des politiques et contrôles

  • Open Policy Agent (OPA)
    Moteur de politiques générique permettant d’appliquer des contrôles de sécurité dans les pipelines.
  • Kyverno
    Moteur de politiques conçu pour les environnements Kubernetes natifs.
  • Conftest
    Outil permettant d’écrire et de tester des politiques à partir de données de configuration structurées.

Plateformes et écosystèmes CI/CD

  • GitHub Actions
    Plateforme CI/CD disposant d’un écosystème riche et de fonctionnalités de sécurité en constante évolution.
  • GitLab CI/CD
    Plateforme DevSecOps intégrée avec des contrôles de sécurité natifs.
  • Tekton
    Framework CI/CD natif Kubernetes pour la construction de pipelines personnalisés.

Modélisation des menaces et attaques

  • Modèles de menaces CI/CD
    Analyse des chemins d’attaque ciblant les systèmes de build, les pipelines et les runners.
  • Attaques sur la chaîne d’approvisionnement logicielle
    Incidents réels et techniques utilisées pour compromettre les pipelines de livraison.
  • Frontières de confiance des pipelines
    Compréhension des hypothèses de confiance à travers les différentes étapes des pipelines.

Références externes

  • OWASP Foundation
    Ressources de sécurité ouvertes et modèles de menaces.
  • CNCF Supply Chain Security
    Initiatives cloud-native et bonnes pratiques autour de la sécurité de la chaîne d’approvisionnement.
  • NIST
    Normes et recommandations de sécurité liées au développement logiciel et aux chaînes d’approvisionnement.

Écosystème associé

Pour les aspects liés à la conformité, à la gouvernance et aux exigences réglementaires en matière de DevSecOps et de CI/CD, consultez regulated-devsecops.com.

Les deux sites sont conçus pour être complémentaires :