Lab : Simulation d’une Attaque de Confusion de Dépendances dans un Environnement Sandbox

Lab : Simulation d’une Attaque de Confusion de Dépendances dans un Environnement Sandbox

Vue d’ensemble La confusion de dépendances est une attaque de la chaîne d’approvisionnement qui exploite la manière dont les gestionnaires de paquets résolvent les noms de packages lorsque des registres privés (internes) et publics sont configurés simultanément. Lorsqu’un attaquant publie un package malveillant sur un registre public en utilisant le même nom qu’un package privé … Lire la suite

Les Niveaux SLSA Expliqués : Checklist Pratique de Conformité pour les Équipes d’Ingénierie

Les Niveaux SLSA Expliqués : Checklist Pratique de Conformité pour les Équipes d’Ingénierie

Introduction : Qu’est-ce que SLSA et pourquoi devriez-vous vous en soucier ? Supply-chain Levels for Software Artifacts — SLSA (prononcé « salsa ») — est un framework de sécurité créé par Google et désormais maintenu par l’Open Source Security Foundation (OpenSSF). Son objectif est d’une simplicité trompeuse : rendre plus difficile pour les attaquants de … Lire la suite

OWASP Top 10 des Risques CI/CD Expliqués avec des Exemples Concrets

OWASP Top 10 des Risques CI/CD Expliqués avec des Exemples Concrets

Les pipelines CI/CD sont devenus l’épine dorsale de la livraison logicielle moderne. Mais cette puissance s’accompagne de risques significatifs. Le projet OWASP Top 10 des Risques de Sécurité CI/CD répertorie les vecteurs d’attaque les plus critiques ciblant les systèmes d’intégration continue et de livraison continue. Dans ce guide, nous détaillons chaque risque avec des exemples … Lire la suite

Identifiants à Courte Durée de Vie et Workload Identity Federation dans les Pipelines CI/CD

Identifiants à Courte Durée de Vie et Workload Identity Federation dans les Pipelines CI/CD

Introduction Si vous auditez les coffres-forts de secrets de la plupart des plateformes CI/CD aujourd’hui, vous trouverez un cimetière de identifiants à longue durée de vie : des clés d’accès AWS créées il y a des années, des clés JSON de comptes de service GCP partagées entre des dizaines de pipelines, des GitHub Personal Access … Lire la suite

Lab : Configuration du Workload Identity OIDC pour GitHub Actions avec AWS

Lab : Configuration du Workload Identity OIDC pour GitHub Actions avec AWS

Aperçu Si vos workflows GitHub Actions s’authentifient auprès d’AWS en utilisant AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY stockés comme secrets de dépôt, vous avez un sérieux problème de sécurité. Ces identifiants à longue durée de vie n’expirent jamais d’eux-mêmes, peuvent être exfiltrés par n’importe quelle étape du workflow (y compris les actions tierces), et donnent aux attaquants un … Lire la suite

Scanners de Sécurité CI/CD Comparés : Trivy vs Grype vs Snyk vs Checkov

Scanners de Sécurité CI/CD Comparés : Trivy vs Grype vs Snyk vs Checkov

Introduction Sécuriser votre pipeline CI/CD n’est plus une option — c’est une exigence fondamentale pour toute organisation logicielle moderne. À mesure que les attaques contre la chaîne d’approvisionnement gagnent en fréquence et en sophistication, les outils que vous intégrez dans vos pipelines de build et de déploiement déterminent directement votre posture de sécurité. Mais face … Lire la suite

Lab : Runners Éphémères Self-Hosted avec Actions Runner Controller

Lab : Runners Éphémères Self-Hosted avec Actions Runner Controller

Aperçu Les runners hébergés par GitHub sont partagés et éphémères par défaut — chaque job obtient une machine virtuelle neuve qui est détruite une fois le job terminé. Les runners self-hosted, en revanche, sont persistants et partagés entre les exécutions de workflows. Cela crée un risque de sécurité important : les secrets, les tokens et … Lire la suite

Lab : Construction d’un Pipeline SBOM — Générer, Attester et Vérifier avec Syft et Cosign

Lab : Construction d’un Pipeline SBOM — Générer, Attester et Vérifier avec Syft et Cosign

Présentation Les Software Bills of Materials (SBOMs) deviennent rapidement un composant obligatoire de la transparence de la chaîne d’approvisionnement logicielle. Les décrets gouvernementaux, les cadres réglementaires comme le NIST SSDF et les normes industrielles exigent désormais des organisations qu’elles produisent, distribuent et vérifient des SBOMs pour chaque version logicielle. Un SBOM liste chaque composant, bibliothèque … Lire la suite

Lab : Exploitation et Défense Contre le Poisoned Pipeline Execution (PPE)

Lab : Exploitation et Défense Contre le Poisoned Pipeline Execution (PPE)

Présentation Le Poisoned Pipeline Execution (PPE) est classé comme le risque n°2 dans le Top 10 de la sécurité CI/CD de l’OWASP. Il s’agit d’une catégorie d’attaques dans laquelle un acteur malveillant manipule le processus de build en injectant du code dans les définitions de pipelines ou les scripts de build, généralement via une pull … Lire la suite

Patterns Défensifs et Atténuations pour les Attaques de Pipelines CI/CD

Patterns Défensifs et Atténuations pour les Attaques de Pipelines CI/CD

Introduction Comprendre comment les pipelines CI/CD sont attaqués ne représente que la moitié du tableau. La modélisation des menaces et la taxonomie des attaques nous fournissent une carte du champ de bataille, mais sans patterns défensifs concrets et atténuations techniques, ces connaissances restent théoriques. Ce guide comble le fossé entre la sensibilisation et l’action. L’objectif … Lire la suite