Said OULMAKHZOUNE Introduction : Pourquoi les moteurs de politiques sont essentiels pour le CI/CD Les pipelines CI/CD modernes avancent vite. Les équipes déploient des dizaines — parfois des centaines — de mises en production par jour, et chacune de ces mises en production comporte des décisions de configuration qui impactent la sécurité, la conformité et la stabilité … Lire la suite
Pourquoi les SBOMs sont importants : l’impératif réglementaire et sécuritaire Un Software Bill of Materials (SBOM) est un inventaire formel et lisible par machine de chaque composant, bibliothèque et dépendance qui constitue un logiciel. Considérez-le comme l’étiquette nutritionnelle de votre application — sauf qu’au lieu des calories et du sodium, vous répertoriez les paquets, versions, … Lire la suite
Pourquoi la signature d’images container est essentielle Chaque fois que vous récupérez une image container et la déployez en production, vous accordez une confiance implicite à cet artefact. Mais comment vérifiez-vous que l’image n’a pas été altérée ? Comment confirmez-vous qu’elle a réellement été construite par votre pipeline CI/CD et non injectée par un attaquant … Lire la suite
Introduction La signature de code est depuis longtemps un pilier de la sécurité logicielle. Lorsque vous vérifiez une signature, vous savez qui a signé un artefact. Mais savoir qui a signé quelque chose ne vous dit pas comment il a été construit, où il a été construit, ni quel code source a été utilisé. Un … Lire la suite
Vue d’ensemble Les manifestes Kubernetes mal configurés sont l’une des principales causes d’incidents de sécurité en production. Un conteneur s’exécutant en tant que root, un tag d’image non épinglé, une limite de ressources manquante ou un réseau hôte exposé peuvent chacun ouvrir la porte à une escalade de privilèges, un épuisement des ressources ou un … Lire la suite
Vue d’ensemble Les fuites de secrets dans les pipelines CI/CD sont la cause numéro un de compromission des pipelines. Les identifiants exposés — clés API, mots de passe de bases de données, jetons d’accès cloud — offrent aux attaquants un accès direct aux systèmes de production. Selon le rapport 2025 State of Secrets Sprawl de … Lire la suite
Présentation GitHub Actions est devenu la plateforme CI/CD la plus largement adoptée, aussi bien pour les logiciels open source que commerciaux. Cette popularité en fait la surface d’attaque numéro un dans le paysage CI/CD. Des workflows mal configurés divulguent régulièrement des secrets, accordent des permissions excessives et intègrent du code tiers pouvant être modifié de … Lire la suite
Présentation La provenance SLSA (Supply-chain Levels for Software Artifacts) est un enregistrement vérifiable qui décrit comment un artefact a été construit : le dépôt source, la plateforme de build, le point d’entrée et les matériaux d’entrée. Lorsqu’elle est associée à une image container, la provenance permet aux consommateurs de répondre à une question critique avant … Lire la suite
Présentation Chaque image container produite par votre pipeline CI/CD devrait être signée cryptographiquement avant d’atteindre un quelconque environnement. Les images non signées constituent un angle mort — vous n’avez aucune preuve qu’elles proviennent de votre pipeline, aucune garantie qu’elles n’ont pas été altérées en transit, et aucun mécanisme de politique pour bloquer les déploiements non … Lire la suite
Aperçu GitLab CI est la deuxième plateforme CI/CD la plus utilisée dans l’industrie, alimentant des millions de pipelines au sein d’organisations de toutes tailles. Son intégration étroite avec le contrôle de version la rend exceptionnellement pratique — mais cette même intégration crée une surface d’attaque étendue si les pipelines ne sont pas délibérément renforcés. Dans … Lire la suite
