Labs

Les labs de Secure Pipelines sont des exercices pratiques conçus pour explorer des scénarios réels de sécurité CI/CD et de chaîne d’approvisionnement logicielle.

Ils se concentrent sur la compréhension de la manière dont les pipelines sont attaqués, où la confiance se brise et comment des contrôles de sécurité efficaces peuvent être implémentés.

---

À quoi s’attendre dans les labs

Les labs sont pratiques par conception et construits autour de plateformes et d’outils CI/CD réels.

• Exercices pas à pas
• Configurations et workflows CI/CD réels
• Exemples YAML et commandes
• Résultats attendus clairement définis
• Scénarios d’échec et erreurs de configuration

Chaque lab est conçu pour démontrer non seulement comment sécuriser un pipeline, mais aussi comment et pourquoi les contrôles de sécurité peuvent échouer.

---

Labs plateformes CI/CD

Ces labs se concentrent sur la sécurisation de plateformes CI/CD et d’environnements d’exécution spécifiques.

• Labs GitHub Actions
  • Durcissement des workflows GitHub Actions — Permissions, épinglage et secrets
  • Configuration de l’OIDC Workload Identity pour GitHub Actions avec AWS
  • Détection de GitHub Actions malveillantes par analyse statique
  • Exécution de runners auto-hébergés éphémères avec Actions Runner Controller
• Labs GitLab CI
  • Sécurisation des pipelines GitLab CI — Variables protégées, runners et environnements
• Labs Tekton
  • Implémentation d’un pipeline de build sécurisé avec Tekton et Tekton Chains

---

Labs chaîne d’approvisionnement logicielle

Ces labs explorent les attaques et défenses liées à la chaîne d’approvisionnement logicielle.

• Compromission et empoisonnement de dépendances — Simulation d’une attaque dependency confusion
• Signature et vérification d’artefacts avec Cosign dans GitHub Actions
• Génération et vérification de la provenance avec SLSA
• Création, attestation et validation de SBOM avec Syft et Cosign
• Builds de conteneurs reproductibles — Épinglage, vérification et comparaison d’images

---

Labs durcissement des pipelines

Ces labs se concentrent sur le renforcement des environnements d’exécution des pipelines.

• Isolation des runners et modèles d’exécution — Runners éphémères avec ARC
• Moindre privilège et portée des permissions
• Exposition et protection des secrets
• Application des politiques de déploiement Kubernetes avec OPA Conftest

---

Scénarios d’attaque et de défense

Comprendre les techniques des attaquants est essentiel pour défendre les pipelines.

• Poisoned Pipeline Execution (PPE) — Exploitation et défense contre l’attaque n°2 du CI/CD
• Dépendances compromises — Simulation de dependency confusion
• Actions compromises — Détection de GitHub Actions malveillantes
• Détection et prévention des fuites de secrets
• Falsification et détection d’artefacts — Échange d’images de conteneurs dans un registre

---

Comment utiliser les labs

Les labs sont conçus pour être exécutés dans des environnements de test ou de sandbox.

Avant de commencer un lab, vous devez :

• Avoir des connaissances de base en CI/CD et Git
• Comprendre la plateforme ou l’outil ciblé
• Utiliser uniquement des environnements hors production

Chaque lab inclut :

• Des prérequis
• Des instructions de mise en place
• Des étapes d’exécution
• Des instructions de nettoyage

---

Écosystème associé

Pour les perspectives de gouvernance, d’auditabilité et de conformité liées à la sécurité CI/CD, consultez regulated-devsecops.com.

Secure Pipelines se concentre sur la manière dont les contrôles de sécurité sont implémentés et testés, tandis que Regulated DevSecOps explique comment ces contrôles sont gouvernés et évalués.