Les guides de Secure Pipelines sont des ressources structurées et approfondies conçues pour expliquer comment concevoir, sécuriser et exploiter les pipelines CI/CD et de livraison logicielle.
Contrairement aux articles individuels, les guides se concentrent sur les concepts fondamentaux, les architectures et les pratiques durables qui restent pertinentes quel que soit l’outil ou la plateforme.
Architecture CI/CD sécurisée
Ces guides explorent la conception des pipelines CI/CD, l’emplacement des frontières de confiance et la manière d’intégrer les contrôles de sécurité sans perturber les workflows de livraison.
- Modèles d’exécution CI/CD et hypothèses de confiance
- Étapes du pipeline et responsabilités de sécurité
- Architectures de runners sécurisées et stratégies d’isolation
- Séparation des responsabilités et moindre privilège dans les pipelines
Sécurité de la chaîne d’approvisionnement logicielle
La sécurité de la chaîne d’approvisionnement logicielle vise à protéger l’intégrité de ce qui est construit, comment c’est construit et comment c’est livré.
- Risques liés aux dépendances et confiance transitive
- Intégrité des builds et builds reproductibles
- Provenance des artefacts et attestations
- Niveaux SLSA et implémentation pratique
Intégrité des builds et confiance dans les artefacts
Ces guides couvrent les techniques et patterns pour garantir que les résultats de build sont authentiques, traçables et protégés contre la falsification.
- Signature et vérification des artefacts
- Utiliser Sigstore et Cosign
- Formats d’attestation et métadonnées
- Vérification des artefacts au moment du déploiement
Gestion des secrets dans les pipelines
Les secrets sont l’une des sources de compromission CI/CD les plus courantes.
Ces guides se concentrent sur la gestion sécurisée des secrets à travers les étapes et environnements des pipelines.
- Risques d’exposition des secrets en CI/CD
- Patterns d’injection de secrets
- Credentials éphémères et accès basé sur l’identité
- Intégration de gestionnaires de secrets externes
Application des politiques et contrôles
Les contrôles de sécurité dans les pipelines doivent être applicables, auditables et prévisibles.
- Concepts de Policy as Code
- Utiliser OPA pour les contrôles de pipeline
- Valider les configurations et les workflows
- Faire échouer les pipelines de manière sûre et explicite
Menaces, attaques et défenses
Comprendre comment les pipelines CI/CD sont attaqués est essentiel pour les sécuriser.
- Chemins d’attaque courants des pipelines CI/CD
- Runners et agents de build compromis
- Dependency confusion et empoisonnement d’artefacts
- Patterns défensifs et mesures d’atténuation
Utiliser les guides
Les guides sont conçus pour être lus séquentiellement ou utilisés comme matériel de référence.
Chaque guide :
- Explique les concepts sous-jacents
- Montre des options de conception et d’implémentation pratiques
- Discute des compromis et des limites
- Renvoie vers les labs et articles pertinents
À mesure que de nouvelles menaces, outils et pratiques émergent, les guides sont mis à jour pour rester précis et utiles.
Écosystème associé
Pour les aspects de conformité, gouvernance et réglementation liés au CI/CD et au DevSecOps, consultez regulated-devsecops.com.
Ensemble, les deux sites fournissent les perspectives d’ingénierie et de gouvernance nécessaires pour sécuriser les pipelines de livraison logicielle modernes.
