Cette page présente les principaux thèmes techniques couverts sur Secure Pipelines.
Chaque thème représente un domaine clé de la sécurité CI/CD et de la chaîne d’approvisionnement logicielle, avec des articles approfondis, des guides et des labs pratiques.
Sécurité CI/CD
Ce thème se concentre sur la sécurisation des pipelines CI/CD contre la falsification, les abus et les modifications non autorisées.
→ Lire le guide complet de la sécurité des pipelines CI/CD
- Modèles d’exécution de pipeline et frontières de confiance
- Permissions, identités et contrôle d’accès
- Exposition et protection des secrets
- Workflows de déploiement sécurisés
Guides : Policy as Code | Workload Identity Federation | Patterns défensifs
Cheat sheets : OWASP Top 10 des risques CI/CD | Checklist des niveaux SLSA
Sécurité de la chaîne d’approvisionnement logicielle
La sécurité de la chaîne d’approvisionnement logicielle traite de l’intégrité des dépendances, des builds et des artefacts.
→ Lire le guide complet de la sécurité de la chaîne d’approvisionnement logicielle
- Risques liés aux dépendances et confiance transitive
- Intégrité des builds et builds reproductibles
- Provenance des artefacts et attestations
- Signature et vérification des artefacts
Labs : Signature Cosign | Provenance SLSA | Pipeline SBOM | Builds reproductibles
Comparatifs : Outils de signature | Outils SBOM
Durcissement des pipelines
Ce thème couvre les techniques de renforcement des environnements d’exécution des pipelines.
→ Lire le guide de durcissement des pipelines
- Isolation des runners et des agents de build
- Restrictions réseau et système de fichiers
- Modèles d’exécution à moindre privilège
- Durcissement des runners partagés et auto-hébergés
Labs : Durcissement GHA | Fuites de secrets | OPA Conftest
Comparatifs : Scanners de sécurité | Moteurs de politiques
GitHub Actions
Ce thème se concentre sur la sécurisation des workflows construits avec GitHub Actions.
→ Lire le guide de référence de la sécurité GitHub Actions
- Permissions des workflows et portée des tokens
- Sécurisation des actions tierces
- Sécurité et isolation des runners
- OIDC workload identity avec AWS
Labs : Durcissement des workflows | Signature Cosign | Provenance SLSA
Cheat sheet : GitHub Actions Security Cheat Sheet
GitLab CI
Ce thème explore les considérations de sécurité spécifiques à GitLab CI/CD.
→ Lire le guide de référence de la sécurité GitLab CI/CD
- Sécurité des pipelines et des jobs
- Configuration et isolation des runners
- Gestion des secrets dans les pipelines GitLab
- Workflows de déploiement sécurisés
Lab : Sécurisation des pipelines GitLab CI
Cheat sheet : GitLab CI Security Cheat Sheet
Menaces et attaques
Comprendre comment les pipelines CI/CD sont attaqués est essentiel pour les défendre.
→ Lire le guide des menaces et attaques CI/CD
- Chemins d’attaque courants des pipelines CI/CD
- Techniques d’attaque de la chaîne d’approvisionnement
- Poisoned Pipeline Execution
- OWASP Top 10 des risques CI/CD
Labs : Attaque PPE | Dependency Confusion | Actions malveillantes | Falsification d’artefacts
Policy as Code
Le Policy as Code permet des contrôles de sécurité automatisés et applicables dans les pipelines CI/CD.
- Principes de conception de politiques et OPA/Rego
- Validation de configurations et de workflows avec Conftest
- Comparatif des moteurs de politiques : OPA vs Kyverno vs Sentinel vs Cedar
Comment utiliser les thèmes
Les thèmes peuvent être explorés indépendamment ou utilisés comme points d’entrée vers un contenu plus structuré.
Chaque thème renvoie vers :
- Des articles connexes et des guides piliers
- Des guides techniques approfondis
- Des labs pratiques
- Des cheat sheets et des ressources comparatives
Ensemble, ils offrent une vue complète de la sécurité CI/CD et de la chaîne d’approvisionnement logicielle.
Écosystème associé
Pour les perspectives de conformité, gouvernance et réglementation liées au DevSecOps et au CI/CD, consultez regulated-devsecops.com.
Secure Pipelines se concentre sur l’implémentation technique, tandis que Regulated DevSecOps se concentre sur la gouvernance et l’auditabilité.
