Laboratoires

Les laboratoires de Secure Pipelines sont des exercices pratiques conçus pour explorer des scénarios réels de sécurité des pipelines CI/CD et de la chaîne d’approvisionnement logicielle.

Ils se concentrent sur la compréhension des modes d’attaque des pipelines, des points de rupture de la confiance, et sur la manière de mettre en œuvre des contrôles de sécurité efficaces.

À quoi s’attendre avec les laboratoires

Les laboratoires sont pratiques par conception et reposent sur des plateformes et des outils CI/CD réels.

  • Exercices pas à pas
  • Configurations et workflows CI/CD réels
  • Exemples et commandes YAML
  • Résultats attendus clairement définis
  • Scénarios d’échec et erreurs de configuration

Chaque laboratoire est conçu pour démontrer non seulement comment sécuriser un pipeline, mais également comment et pourquoi certains contrôles de sécurité peuvent échouer.

Laboratoires par plateforme CI/CD

Ces laboratoires se concentrent sur la sécurisation de plateformes CI/CD spécifiques et de leurs environnements d’exécution.

  • Laboratoires GitHub Actions
    Sécurisation des workflows, des permissions, des runners et des actions tierces.
  • Laboratoires GitLab CI
    Protection des pipelines, des jobs, des runners et des workflows de déploiement.
  • Moteurs CI/CD personnalisés
    Laboratoires utilisant des outils tels que Tekton ou des runners auto-hébergés.

Laboratoires sur la chaîne d’approvisionnement logicielle

Ces laboratoires explorent les attaques et les mécanismes de défense liés à la chaîne d’approvisionnement logicielle.

  • Compromission et empoisonnement des dépendances
  • Altération et substitution des artefacts
  • Génération et vérification de la provenance
  • Création et validation des SBOM

Laboratoires de durcissement des pipelines

Ces laboratoires se concentrent sur le renforcement des environnements d’exécution des pipelines.

  • Isolation des runners et modèles d’exécution
  • Principe du moindre privilège et périmètre des permissions
  • Exposition et protection des secrets
  • Restrictions réseau et système de fichiers

Scénarios d’attaque et de défense

Comprendre les techniques utilisées par les attaquants est essentiel pour pouvoir défendre efficacement les pipelines.

  • Vecteurs d’attaque CI/CD réels
  • Abus des permissions des pipelines
  • Dépendances et actions compromises
  • Stratégies de détection et de mitigation

Comment utiliser les laboratoires

Les laboratoires sont conçus pour être exécutés dans des environnements de test ou des environnements isolés (sandbox).

Avant de commencer un laboratoire, il est recommandé de :

  • Disposer de connaissances de base en CI/CD et Git
  • Comprendre la plateforme ou l’outil ciblé
  • Utiliser exclusivement des environnements non productifs

Chaque laboratoire comprend :

  • Les prérequis
  • Les instructions de mise en place
  • Les étapes d’exécution
  • Les consignes de nettoyage

Écosystème associé

Pour les aspects liés à la gouvernance, à l’auditabilité et à la conformité en matière de sécurité CI/CD, consultez regulated-devsecops.com.

Secure Pipelines se concentre sur la mise en œuvre et le test des contrôles de sécurité, tandis que Regulated DevSecOps explique comment ces contrôles sont gouvernés et évalués.