Cheat Sheet Sécurité GitHub Actions : Permissions, Pinning, Secrets et OIDC

Cheat Sheet Sécurité GitHub Actions : Permissions, Pinning, Secrets et OIDC

1. Permissions — Principe du moindre privilège Le changement qui aura le plus d’impact sur n’importe quel workflow GitHub Actions est de verrouiller les permissions. Par défaut, GITHUB_TOKEN dispose d’un accès en lecture et écriture sur la plupart des scopes. Corrigez cela immédiatement. Permissions en lecture seule par défaut (niveau global) Placez ceci en haut … Lire la suite

Sécurité de GitHub Actions : le guide définitif

Sécurité de GitHub Actions : le guide définitif

GitHub Actions est devenue la plateforme CI/CD la plus adoptée au monde. Avec plus de 90 % des dépôts GitHub capables de l’utiliser nativement, elle propulse aussi bien de simples vérifications de linting que des déploiements multi-cloud complexes. Mais cette omniprésence en fait la surface d’attaque CI/CD la plus ciblée du développement logiciel moderne. En … Lire la suite

Lab : Durcissement des Workflows GitHub Actions — Permissions, Pinning et Secrets

Lab : Durcissement des Workflows GitHub Actions — Permissions, Pinning et Secrets

Présentation GitHub Actions est devenu la plateforme CI/CD la plus largement adoptée, aussi bien pour les logiciels open source que commerciaux. Cette popularité en fait la surface d’attaque numéro un dans le paysage CI/CD. Des workflows mal configurés divulguent régulièrement des secrets, accordent des permissions excessives et intègrent du code tiers pouvant être modifié de … Lire la suite

Lab : Signature et Vérification d’Images Container avec Cosign dans GitHub Actions

Lab : Signature et Vérification d’Images Container avec Cosign dans GitHub Actions

Présentation Chaque image container produite par votre pipeline CI/CD devrait être signée cryptographiquement avant d’atteindre un quelconque environnement. Les images non signées constituent un angle mort — vous n’avez aucune preuve qu’elles proviennent de votre pipeline, aucune garantie qu’elles n’ont pas été altérées en transit, et aucun mécanisme de politique pour bloquer les déploiements non … Lire la suite

Lab : Configuration du Workload Identity OIDC pour GitHub Actions avec AWS

Lab : Configuration du Workload Identity OIDC pour GitHub Actions avec AWS

Aperçu Si vos workflows GitHub Actions s’authentifient auprès d’AWS en utilisant AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY stockés comme secrets de dépôt, vous avez un sérieux problème de sécurité. Ces identifiants à longue durée de vie n’expirent jamais d’eux-mêmes, peuvent être exfiltrés par n’importe quelle étape du workflow (y compris les actions tierces), et donnent aux attaquants un … Lire la suite

Lab : Runners Éphémères Self-Hosted avec Actions Runner Controller

Lab : Runners Éphémères Self-Hosted avec Actions Runner Controller

Aperçu Les runners hébergés par GitHub sont partagés et éphémères par défaut — chaque job obtient une machine virtuelle neuve qui est détruite une fois le job terminé. Les runners self-hosted, en revanche, sont persistants et partagés entre les exécutions de workflows. Cela crée un risque de sécurité important : les secrets, les tokens et … Lire la suite

Lab : Détection des GitHub Actions Malveillantes par Analyse Statique

Lab : Détection des GitHub Actions Malveillantes par Analyse Statique

Vue d’ensemble Les GitHub Actions tierces sont l’une des fonctionnalités les plus pratiques de l’écosystème GitHub. Avec une simple directive uses:, vous pouvez intégrer une logique de build complexe, déployer sur des fournisseurs cloud ou exécuter des scanners de sécurité. Mais cette commodité implique un compromis critique : chaque action tierce exécute du code dans … Lire la suite

Sécuriser les runners GitHub Actions : architecture, risques et bonnes pratiques

Sécuriser les runners GitHub Actions : architecture, risques et bonnes pratiques

GitHub Actions est devenu l’une des plateformes CI/CD les plus largement adoptées. Sa flexibilité, son intégration étroite avec les dépôts GitHub et son riche écosystème en font un choix attractif pour les équipes de toutes tailles. Parallèlement, les runners GitHub Actions sont apparus comme une surface d’attaque critique dans les attaques modernes contre la chaîne … Lire la suite