Pourquoi la signature d’images container est essentielle Chaque fois que vous récupérez une image container et la déployez en production, vous accordez une confiance implicite à cet artefact. Mais comment vérifiez-vous que l’image n’a pas été altérée ? Comment confirmez-vous qu’elle a réellement été construite par votre pipeline CI/CD et non injectée par un attaquant … Lire la suite
Introduction La signature de code est depuis longtemps un pilier de la sécurité logicielle. Lorsque vous vérifiez une signature, vous savez qui a signé un artefact. Mais savoir qui a signé quelque chose ne vous dit pas comment il a été construit, où il a été construit, ni quel code source a été utilisé. Un … Lire la suite
Vue d’ensemble Les manifestes Kubernetes mal configurés sont l’une des principales causes d’incidents de sécurité en production. Un conteneur s’exécutant en tant que root, un tag d’image non épinglé, une limite de ressources manquante ou un réseau hôte exposé peuvent chacun ouvrir la porte à une escalade de privilèges, un épuisement des ressources ou un … Lire la suite
Vue d’ensemble Les fuites de secrets dans les pipelines CI/CD sont la cause numéro un de compromission des pipelines. Les identifiants exposés — clés API, mots de passe de bases de données, jetons d’accès cloud — offrent aux attaquants un accès direct aux systèmes de production. Selon le rapport 2025 State of Secrets Sprawl de … Lire la suite
Présentation GitHub Actions est devenu la plateforme CI/CD la plus largement adoptée, aussi bien pour les logiciels open source que commerciaux. Cette popularité en fait la surface d’attaque numéro un dans le paysage CI/CD. Des workflows mal configurés divulguent régulièrement des secrets, accordent des permissions excessives et intègrent du code tiers pouvant être modifié de … Lire la suite
Présentation La provenance SLSA (Supply-chain Levels for Software Artifacts) est un enregistrement vérifiable qui décrit comment un artefact a été construit : le dépôt source, la plateforme de build, le point d’entrée et les matériaux d’entrée. Lorsqu’elle est associée à une image container, la provenance permet aux consommateurs de répondre à une question critique avant … Lire la suite
Présentation Chaque image container produite par votre pipeline CI/CD devrait être signée cryptographiquement avant d’atteindre un quelconque environnement. Les images non signées constituent un angle mort — vous n’avez aucune preuve qu’elles proviennent de votre pipeline, aucune garantie qu’elles n’ont pas été altérées en transit, et aucun mécanisme de politique pour bloquer les déploiements non … Lire la suite
Aperçu GitLab CI est la deuxième plateforme CI/CD la plus utilisée dans l’industrie, alimentant des millions de pipelines au sein d’organisations de toutes tailles. Son intégration étroite avec le contrôle de version la rend exceptionnellement pratique — mais cette même intégration crée une surface d’attaque étendue si les pipelines ne sont pas délibérément renforcés. Dans … Lire la suite
Introduction La plupart des pipelines CI/CD démarrent avec un objectif simple : acheminer le code depuis la machine d’un développeur vers la production le plus rapidement possible. En cours de route, quelqu’un crée un compte de service, lui accorde des permissions larges, stocke les identifiants comme secret du pipeline, et passe à autre chose. Cela … Lire la suite
CI/CD pipelines are among the most privileged workloads in any organization. They pull source code, download dependencies, access secrets, and push artifacts to production registries. Yet in many environments, the build processes behind these pipelines run with unrestricted network access and full filesystem permissions — a combination that represents one of the most exploitable gaps … Lire la suite
