Thématiques

Cette page présente une vue d’ensemble des principales thématiques techniques abordées sur Secure Pipelines.

Chaque thématique représente un domaine clé de la sécurité des pipelines CI/CD et de la chaîne d’approvisionnement logicielle, avec des articles approfondis, des guides structurés et des laboratoires pratiques.

Sécurité CI/CD

Cette thématique se concentre sur la sécurisation des pipelines CI/CD face aux altérations, aux abus et aux modifications non autorisées.

  • Modèles d’exécution des pipelines et frontières de confiance
  • Sécurisation des définitions et configurations de pipelines
  • Permissions, identités et contrôle d’accès
  • Exposition et protection des secrets

Sécurité de la chaîne d’approvisionnement logicielle

La sécurité de la chaîne d’approvisionnement logicielle vise à garantir l’intégrité des dépendances, des builds et des artefacts.

  • Risques liés aux dépendances et confiance transitive
  • Intégrité des builds et builds reproductibles
  • Traçabilité des artefacts et attestations
  • Génération et vérification des SBOM

Durcissement des pipelines

Cette thématique couvre les techniques permettant de renforcer les environnements d’exécution des pipelines.

  • Isolation des runners et des agents de build
  • Restrictions réseau et système de fichiers
  • Modèles d’exécution basés sur le moindre privilège
  • Durcissement des runners partagés et auto-hébergés

GitHub Actions

Cette thématique se concentre sur la sécurisation des workflows construits avec GitHub Actions.

  • Permissions des workflows et périmètre des tokens
  • Sécurisation des actions tierces
  • Sécurité et isolation des runners
  • Mauvaises configurations courantes et risques associés

GitLab CI

Cette thématique explore les considérations de sécurité spécifiques à GitLab CI/CD.

  • Sécurité des pipelines et des jobs
  • Configuration et isolation des runners
  • Gestion des secrets dans les pipelines GitLab
  • Workflows de déploiement sécurisés

Menaces et attaques

Comprendre comment les pipelines CI/CD sont attaqués est essentiel pour pouvoir les défendre efficacement.

  • Vecteurs d’attaque CI/CD courants
  • Techniques d’attaque sur la chaîne d’approvisionnement
  • Abus des permissions des pipelines
  • Stratégies de détection et de mitigation

Policy as Code

Le Policy as Code permet d’appliquer des contrôles de sécurité automatisés et vérifiables dans les pipelines CI/CD.

  • Principes de conception des politiques
  • Utilisation d’OPA pour la validation des pipelines
  • Validation des configurations et des workflows
  • Modèles d’application sûrs (fail-safe)

Comment utiliser les thématiques

Les thématiques peuvent être explorées indépendamment ou utilisées comme points d’entrée vers des contenus plus structurés.

Chaque thématique renvoie vers :

  • Des articles associés
  • Des guides approfondis
  • Des laboratoires pratiques

Ensemble, elles offrent une vision complète de la sécurité des pipelines CI/CD et de la chaîne d’approvisionnement logicielle.

Écosystème associé

Pour les aspects liés à la conformité, à la gouvernance et aux exigences réglementaires en DevSecOps et CI/CD, consultez regulated-devsecops.com.

Secure Pipelines se concentre sur l’implémentation technique, tandis que Regulated DevSecOps se concentre sur la gouvernance et l’auditabilité.