Said OULMAKHZOUNE Introduction La plupart des pipelines CI/CD démarrent avec un objectif simple : acheminer le code depuis la machine d’un développeur vers la production le plus rapidement possible. En cours de route, quelqu’un crée un compte de service, lui accorde des permissions larges, stocke les identifiants comme secret du pipeline, et passe à autre chose. Cela … Lire la suite
CI/CD pipelines are among the most privileged workloads in any organization. They pull source code, download dependencies, access secrets, and push artifacts to production registries. Yet in many environments, the build processes behind these pipelines run with unrestricted network access and full filesystem permissions — a combination that represents one of the most exploitable gaps … Lire la suite
Vue d’ensemble La confusion de dépendances est une attaque de la chaîne d’approvisionnement qui exploite la manière dont les gestionnaires de paquets résolvent les noms de packages lorsque des registres privés (internes) et publics sont configurés simultanément. Lorsqu’un attaquant publie un package malveillant sur un registre public en utilisant le même nom qu’un package privé … Lire la suite
Introduction : Qu’est-ce que SLSA et pourquoi devriez-vous vous en soucier ? Supply-chain Levels for Software Artifacts — SLSA (prononcé « salsa ») — est un framework de sécurité créé par Google et désormais maintenu par l’Open Source Security Foundation (OpenSSF). Son objectif est d’une simplicité trompeuse : rendre plus difficile pour les attaquants de … Lire la suite
Les pipelines CI/CD sont devenus l’épine dorsale de la livraison logicielle moderne. Mais cette puissance s’accompagne de risques significatifs. Le projet OWASP Top 10 des Risques de Sécurité CI/CD répertorie les vecteurs d’attaque les plus critiques ciblant les systèmes d’intégration continue et de livraison continue. Dans ce guide, nous détaillons chaque risque avec des exemples … Lire la suite
Introduction Si vous auditez les coffres-forts de secrets de la plupart des plateformes CI/CD aujourd’hui, vous trouverez un cimetière de credentials à longue durée de vie : des clés d’accès AWS créées il y a des années, des clés JSON de comptes de service GCP partagées entre des dizaines de pipelines, des GitHub Personal Access … Lire la suite
Aperçu Si vos workflows GitHub Actions s’authentifient auprès d’AWS en utilisant AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY stockés comme secrets de dépôt, vous avez un sérieux problème de sécurité. Ces credentials à longue durée de vie n’expirent jamais d’eux-mêmes, peuvent être exfiltrés par n’importe quelle étape du workflow (y compris les actions tierces), et donnent aux attaquants un … Lire la suite
Ce qu’il faut concrètement modifier dans les environnements CI/CD réels 🔐 Renforcement des accès et de l’identité En cas de non-conformité des contrôles SSO/MFA : Imposer le SSO SAML pour l’organisation GitHub/GitLab. Désactiver l’authentification par mot de passe pour les administrateurs. Imposer la MFA matérielle pour les rôles privilégiés. Supprimer les jetons d’accès personnels sans … Lire la suite
Introduction Sécuriser votre pipeline CI/CD n’est plus une option — c’est une exigence fondamentale pour toute organisation logicielle moderne. À mesure que les attaques contre la chaîne d’approvisionnement gagnent en fréquence et en sophistication, les outils que vous intégrez dans vos pipelines de build et de déploiement déterminent directement votre posture de sécurité. Mais face … Lire la suite
Overview GitHub-hosted runners are shared and ephemeral by default — every job gets a fresh virtual machine that is destroyed after the job completes. Self-hosted runners, on the other hand, are persistent and shared across workflow runs. This creates a significant security risk: secrets, tokens, and build artifacts from one job can leak into the … Lire la suite
