Séparation des Responsabilités et Moindre Privilège dans les Pipelines CI/CD

Séparation des Responsabilités et Moindre Privilège dans les Pipelines CI/CD

Introduction La plupart des pipelines CI/CD démarrent avec un objectif simple : acheminer le code depuis la machine d’un développeur vers la production le plus rapidement possible. En cours de route, quelqu’un crée un compte de service, lui accorde des permissions larges, stocke les identifiants comme secret du pipeline, et passe à autre chose. Cela … Lire la suite

Restrictions Réseau et Système de Fichiers pour les Environnements de Build CI/CD

Restrictions Réseau et Système de Fichiers pour les Environnements de Build CI/CD

Les pipelines CI/CD comptent parmi les charges de travail les plus privilégiées d’une organisation. Ils récupèrent le code source, téléchargent les dépendances, accèdent aux secrets et poussent des artefacts vers les registres de production. Pourtant, dans de nombreux environnements, les processus de build derrière ces pipelines s’exécutent avec un accès réseau illimité et des permissions … Lire la suite

Lab : Simulation d’une Attaque de Confusion de Dépendances dans un Environnement Sandbox

Lab : Simulation d’une Attaque de Confusion de Dépendances dans un Environnement Sandbox

Vue d’ensemble La confusion de dépendances est une attaque de la chaîne d’approvisionnement qui exploite la manière dont les gestionnaires de paquets résolvent les noms de packages lorsque des registres privés (internes) et publics sont configurés simultanément. Lorsqu’un attaquant publie un package malveillant sur un registre public en utilisant le même nom qu’un package privé … Lire la suite

Les Niveaux SLSA Expliqués : Checklist Pratique de Conformité pour les Équipes d’Ingénierie

Les Niveaux SLSA Expliqués : Checklist Pratique de Conformité pour les Équipes d’Ingénierie

Introduction : Qu’est-ce que SLSA et pourquoi devriez-vous vous en soucier ? Supply-chain Levels for Software Artifacts — SLSA (prononcé « salsa ») — est un framework de sécurité créé par Google et désormais maintenu par l’Open Source Security Foundation (OpenSSF). Son objectif est d’une simplicité trompeuse : rendre plus difficile pour les attaquants de … Lire la suite

OWASP Top 10 des Risques CI/CD Expliqués avec des Exemples Concrets

OWASP Top 10 des Risques CI/CD Expliqués avec des Exemples Concrets

Les pipelines CI/CD sont devenus l’épine dorsale de la livraison logicielle moderne. Mais cette puissance s’accompagne de risques significatifs. Le projet OWASP Top 10 des Risques de Sécurité CI/CD répertorie les vecteurs d’attaque les plus critiques ciblant les systèmes d’intégration continue et de livraison continue. Dans ce guide, nous détaillons chaque risque avec des exemples … Lire la suite

Identifiants à Courte Durée de Vie et Workload Identity Federation dans les Pipelines CI/CD

Identifiants à Courte Durée de Vie et Workload Identity Federation dans les Pipelines CI/CD

Introduction Si vous auditez les coffres-forts de secrets de la plupart des plateformes CI/CD aujourd’hui, vous trouverez un cimetière de identifiants à longue durée de vie : des clés d’accès AWS créées il y a des années, des clés JSON de comptes de service GCP partagées entre des dizaines de pipelines, des GitHub Personal Access … Lire la suite

Lab : Configuration du Workload Identity OIDC pour GitHub Actions avec AWS

Lab : Configuration du Workload Identity OIDC pour GitHub Actions avec AWS

Aperçu Si vos workflows GitHub Actions s’authentifient auprès d’AWS en utilisant AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY stockés comme secrets de dépôt, vous avez un sérieux problème de sécurité. Ces identifiants à longue durée de vie n’expirent jamais d’eux-mêmes, peuvent être exfiltrés par n’importe quelle étape du workflow (y compris les actions tierces), et donnent aux attaquants un … Lire la suite

Scanners de Sécurité CI/CD Comparés : Trivy vs Grype vs Snyk vs Checkov

Scanners de Sécurité CI/CD Comparés : Trivy vs Grype vs Snyk vs Checkov

Introduction Sécuriser votre pipeline CI/CD n’est plus une option — c’est une exigence fondamentale pour toute organisation logicielle moderne. À mesure que les attaques contre la chaîne d’approvisionnement gagnent en fréquence et en sophistication, les outils que vous intégrez dans vos pipelines de build et de déploiement déterminent directement votre posture de sécurité. Mais face … Lire la suite

Lab : Runners Éphémères Self-Hosted avec Actions Runner Controller

Lab : Runners Éphémères Self-Hosted avec Actions Runner Controller

Aperçu Les runners hébergés par GitHub sont partagés et éphémères par défaut — chaque job obtient une machine virtuelle neuve qui est détruite une fois le job terminé. Les runners self-hosted, en revanche, sont persistants et partagés entre les exécutions de workflows. Cela crée un risque de sécurité important : les secrets, les tokens et … Lire la suite

Lab : Construction d’un Pipeline SBOM — Générer, Attester et Vérifier avec Syft et Cosign

Lab : Construction d’un Pipeline SBOM — Générer, Attester et Vérifier avec Syft et Cosign

Présentation Les Software Bills of Materials (SBOMs) deviennent rapidement un composant obligatoire de la transparence de la chaîne d’approvisionnement logicielle. Les décrets gouvernementaux, les cadres réglementaires comme le NIST SSDF et les normes industrielles exigent désormais des organisations qu’elles produisent, distribuent et vérifient des SBOMs pour chaque version logicielle. Un SBOM liste chaque composant, bibliothèque … Lire la suite