Cheat Sheet Sécurité GitHub Actions : Permissions, Pinning, Secrets et OIDC

Cheat Sheet Sécurité GitHub Actions : Permissions, Pinning, Secrets et OIDC

1. Permissions — Principe du moindre privilège Le changement qui aura le plus d’impact sur n’importe quel workflow GitHub Actions est de verrouiller les permissions. Par défaut, GITHUB_TOKEN dispose d’un accès en lecture et écriture sur la plupart des scopes. Corrigez cela immédiatement. Permissions en lecture seule par défaut (niveau global) Placez ceci en haut … Lire la suite

Menaces et attaques CI/CD : ce que les attaquants ciblent et comment se défendre

Menaces et attaques CI/CD : ce que les attaquants ciblent et comment se défendre

La livraison logicielle moderne repose sur les pipelines d’intégration et de livraison continues (CI/CD) pour construire, tester et déployer du code à grande échelle. Ces pipelines sont devenus la colonne vertébrale du DevOps, permettant aux organisations de livrer des fonctionnalités plus vite et de manière plus fiable que jamais. Mais cette puissance a une contrepartie … Lire la suite

Sécurité de GitHub Actions : le guide définitif

Sécurité de GitHub Actions : le guide définitif

GitHub Actions est devenue la plateforme CI/CD la plus adoptée au monde. Avec plus de 90 % des dépôts GitHub capables de l’utiliser nativement, elle propulse aussi bien de simples vérifications de linting que des déploiements multi-cloud complexes. Mais cette omniprésence en fait la surface d’attaque CI/CD la plus ciblée du développement logiciel moderne. En … Lire la suite

Sécurité de GitLab CI/CD : le guide définitif

Sécurité de GitLab CI/CD : le guide définitif

GitLab CI/CD est devenu la colonne vertébrale du DevSecOps moderne : il offre une plateforme intégrée où le code, les pipelines, l’analyse de sécurité et les déploiements convergent dans une seule interface. Mais cette intégration profonde est une arme à double tranchant : un pipeline mal configuré peut exposer des secrets, autoriser des déploiements non … Lire la suite

Le Guide Complet de la Sécurité des Pipelines CI/CD

Le Guide Complet de la Sécurité des Pipelines CI/CD

Introduction Les pipelines CI/CD constituent l’épine dorsale de la livraison logicielle moderne. Ils automatisent le parcours du commit de code jusqu’au déploiement en production, permettant aux équipes de livrer plus rapidement, de manière plus fiable et avec une plus grande confiance. Mais cette puissance s’accompagne d’un compromis critique : les pipelines sont de plus en … Lire la suite

Lab : Builds de Conteneurs Reproductibles — Pinning, Vérification et Comparaison d’Images

Lab : Builds de Conteneurs Reproductibles — Pinning, Vérification et Comparaison d’Images

Présentation Si vous construisez le même Dockerfile deux fois et obtenez des images différentes, vous ne pouvez pas vérifier l’intégrité du build. Un build non reproductible signifie que vous n’avez aucun moyen de confirmer que l’artefact en production a bien été produit à partir du code source que vous avez audité. Les attaquants peuvent exploiter … Lire la suite

Lab : Falsification et Détection d’Artefacts — Remplacement d’Images Container dans un Registre

Lab : Falsification et Détection d’Artefacts — Remplacement d’Images Container dans un Registre

Aperçu Les tags d’images container sont des pointeurs modifiables. Contrairement à un hash de commit Git, le tag v1.0.0 n’est pas lié cryptographiquement à une image spécifique — c’est simplement une étiquette qu’un registre associe à un digest de manifeste. Toute personne disposant d’un accès push à un dépôt peut écraser cette association à tout … Lire la suite

Lab : Implémentation d’un Pipeline de Build Sécurisé avec Tekton et Tekton Chains

Lab : Implémentation d’un Pipeline de Build Sécurisé avec Tekton et Tekton Chains

Présentation Tekton est un puissant framework open source natif de Kubernetes permettant de créer des systèmes d’intégration continue et de livraison continue (CI/CD). Il s’exécute sous forme de Custom Resource Definitions (CRDs) sur n’importe quel cluster Kubernetes, vous permettant de définir des pipelines sous forme de YAML déclaratif, portables d’un environnement à l’autre. Tekton Chains … Lire la suite

Moteurs de Politiques CI/CD Comparés : OPA vs Kyverno vs Sentinel vs Cedar

Moteurs de Politiques CI/CD Comparés : OPA vs Kyverno vs Sentinel vs Cedar

Introduction : Pourquoi les moteurs de politiques sont essentiels pour le CI/CD Les pipelines CI/CD modernes avancent vite. Les équipes déploient des dizaines — parfois des centaines — de mises en production par jour, et chacune de ces mises en production comporte des décisions de configuration qui affectent la sécurité, la conformité et la stabilité … Lire la suite

Outils SBOM Comparés : Syft vs Trivy vs CycloneDX CLI

Outils SBOM Comparés : Syft vs Trivy vs CycloneDX CLI

Pourquoi les SBOMs sont importants : l’impératif réglementaire et sécuritaire Un Software Bill of Materials (SBOM) est un inventaire formel et lisible par machine de chaque composant, bibliothèque et dépendance qui constitue un logiciel. Considérez-le comme l’étiquette nutritionnelle de votre application — sauf qu’au lieu des calories et du sodium, vous répertoriez les paquets, versions, … Lire la suite