Ressources

Cette page rassemble les matériaux de référence, outils et ressources techniques liés à la sécurité CI/CD et à la protection de la chaîne d’approvisionnement logicielle.

Les ressources listées ici sont sélectionnées pour leur pertinence, leur profondeur technique et leur utilité pratique.

---

Standards et frameworks

• SLSA (Supply-chain Levels for Software Artifacts)
  Framework pour améliorer l’intégrité des builds et la provenance dans les chaînes d’approvisionnement logicielles.
  → Guide : Provenance des artefacts et attestations | → Lab : Provenance SLSA
• in-toto
  Framework pour sécuriser l’intégrité des chaînes d’approvisionnement logicielles via des métadonnées et des attestations.
  → Guide : De SLSA à in-toto
• SSDF (NIST Secure Software Development Framework)
  Directives pour intégrer la sécurité tout au long du cycle de vie du développement logiciel.
• OWASP Top 10 CI/CD Risks
  Modèle de menaces axé sur les risques de sécurité des pipelines CI/CD.
  → Guide : Patterns défensifs et mesures d’atténuation

---

Outils de sécurité CI/CD

• Sigstore (Cosign, Rekor, Fulcio)
  Outillage pour la signature, la vérification et l’enregistrement des artefacts logiciels et des attestations.
  → Guide : Signature avec Sigstore et Cosign | → Lab : Cosign dans GitHub Actions
• Trivy
  Scanner de vulnérabilités, de configurations et de SBOM pour les conteneurs et les pipelines.
• Syft
  Outil de génération de SBOM pour les conteneurs et les artefacts sources.
  → Lab : Pipeline SBOM avec Syft et Cosign
• Grype
  Scanner de vulnérabilités basé sur l’analyse de SBOM.
  → Lab : Pipeline SBOM avec Syft et Cosign
• Checkov
  Outil d’analyse statique pour l’infrastructure as code et les configurations de pipeline.
• Gitleaks
  Outil de détection de secrets pour les dépôts git, les hooks pre-commit et les pipelines CI/CD.
  → Lab : Détection et prévention des fuites de secrets
• TruffleHog
  Scanner de credentials avec détection vérifiée de secrets dans l’historique git, les systèmes de fichiers et les services cloud.
  → Lab : Détection et prévention des fuites de secrets
• actionlint
  Vérificateur statique pour les fichiers de workflow GitHub Actions — détecte les erreurs de configuration et les risques d’injection d’expressions.
  → Lab : Détection de GitHub Actions malveillantes
• zizmor
  Analyse statique orientée sécurité pour les workflows GitHub Actions.
  → Lab : Détection de GitHub Actions malveillantes
• crane
  Outil CLI pour interagir avec les registres de conteneurs — inspecter, copier, modifier et comparer les images.
  → Lab : Falsification et détection d’artefacts
• diffoscope
  Outil de comparaison approfondie pour les fichiers, répertoires et images de conteneurs — essentiel pour vérifier la reproductibilité des builds.
  → Lab : Builds de conteneurs reproductibles

---

Application des politiques et contrôles

• Open Policy Agent (OPA)
  Moteur de politiques généraliste pour appliquer des contrôles de sécurité dans les pipelines.
  → Guide : Policy as Code avec OPA et Rego | → Lab : OPA Conftest en CI/CD
• Kyverno
  Moteur de politiques conçu pour les environnements Kubernetes-natifs.
• Conftest
  Outil pour écrire et tester des politiques sur des données de configuration structurées.
  → Lab : OPA Conftest en CI/CD

---

Gestion des secrets

• HashiCorp Vault
  Plateforme de gestion des secrets avec secrets dynamiques, chiffrement et accès basé sur l’identité.
  → Guide : Gestion des secrets avec intégration Vault
• GitHub Actions OIDC
  Workload Identity Federation pour GitHub Actions — éliminer les credentials cloud de longue durée.
  → Guide : Workload Identity Federation | → Lab : OIDC avec AWS
• GitLab CI OIDC
  Authentification par ID token pour GitLab CI — credentials éphémères pour l’accès cloud.
  → Guide : Workload Identity Federation

---

Plateformes et écosystèmes CI/CD

• GitHub Actions
  Plateforme CI/CD avec un écosystème riche et des fonctionnalités de sécurité en croissance.
  → Lab : Durcissement de GitHub Actions
• GitLab CI/CD
  Plateforme DevSecOps intégrée avec des contrôles de sécurité natifs.
  → Lab : Sécurisation de GitLab CI
• Tekton
  Framework CI/CD Kubernetes-natif pour construire des pipelines personnalisés.
  → Lab : Tekton et Tekton Chains
• Actions Runner Controller (ARC)
  Opérateur Kubernetes pour des runners GitHub Actions éphémères et auto-scalables.
  → Lab : Runners éphémères avec ARC

---

Modélisation des menaces et attaques

• OWASP Top 10 CI/CD Risks
  Le modèle de menaces de référence pour les risques de sécurité des pipelines CI/CD.
  → Guide : Les pipelines CI/CD comme surface d’attaque
• Poisoned Pipeline Execution (PPE)
  Risque OWASP CI/CD n°2 — un attaquant modifie le code du pipeline ou les scripts de build via des pull requests.
  → Lab : Exploitation et défense contre le PPE
• Dependency confusion (Alex Birsan, 2021)
  Recherche originale ayant compromis Apple, Microsoft et Tesla via la résolution de noms des gestionnaires de paquets.
  → Guide : Dependency Confusion et empoisonnement d’artefacts | → Lab : Simulation de Dependency Confusion
• Modélisation des menaces CI/CD
  Analyse des frontières de confiance et des chemins d’attaque dans les pipelines CI/CD.
  → Guide : Modèles d’exécution et hypothèses de confiance

---

Guides comparatifs

Des comparatifs approfondis pour vous aider à choisir les bons outils pour votre stack de sécurité CI/CD.

• Scanners de sécurité CI/CD comparés — Trivy vs Grype vs Snyk vs Checkov
• Outils de signature de conteneurs comparés — Cosign vs Notation vs GPG
• Outils SBOM comparés — Syft vs Trivy vs CycloneDX CLI
• Moteurs de politiques CI/CD comparés — OPA vs Kyverno vs Sentinel vs Cedar

---

Cheat sheets et références rapides

Des références concises, prêtes à copier-coller, pour les tâches quotidiennes de sécurité CI/CD.

• GitHub Actions Security Cheat Sheet — Permissions, épinglage, secrets et OIDC
• GitLab CI Security Cheat Sheet — Variables, runners, environnements et OIDC
• OWASP Top 10 des risques CI/CD — Expliqués avec des exemples concrets
• Niveaux SLSA — Checklist de conformité pratique

---

Références externes

• OWASP Foundation
  Ressources ouvertes de sécurité et modèles de menaces.
• CNCF TAG Security
  Initiatives et bonnes pratiques cloud-natives autour de la sécurité de la chaîne d’approvisionnement.
• NIST CSRC
  Standards et directives de sécurité liés au développement logiciel et aux chaînes d’approvisionnement.
• OpenSSF (Open Source Security Foundation)
  Collaboration intersectorielle sur la sécurité des logiciels open source, incluant Scorecard, SLSA et Sigstore.

---

Écosystème associé

Pour les aspects de conformité, gouvernance et réglementation du DevSecOps et du CI/CD, consultez regulated-devsecops.com.

Les deux sites sont conçus pour se compléter :

• Secure Pipelines : implémentation technique et pratiques d’ingénierie
• Regulated DevSecOps : gouvernance, auditabilité et conformité