{"id":452,"date":"2026-01-23T23:09:03","date_gmt":"2026-01-23T22:09:03","guid":{"rendered":"https:\/\/secure-pipelines.com\/?p=452"},"modified":"2026-03-25T08:38:11","modified_gmt":"2026-03-25T07:38:11","slug":"gitlab-ci-security-cheat-sheet","status":"publish","type":"post","link":"https:\/\/secure-pipelines.com\/fr\/ci-cd-security\/gitlab-ci-security-cheat-sheet\/","title":{"rendered":"Cheat Sheet S\u00e9curit\u00e9 GitLab CI : Variables, Runners, Environnements et OIDC"},"content":{"rendered":"

Pourquoi la s\u00e9curit\u00e9 de GitLab CI est essentielle<\/h2>\n

Les pipelines GitLab CI\/CD sont puissants \u2014 mais qui dit puissance dit risque. Une variable mal configur\u00e9e peut exposer des secrets. Un runner non restreint peut ex\u00e9cuter du code malveillant. Un environnement non prot\u00e9g\u00e9 peut permettre \u00e0 un d\u00e9veloppeur junior de d\u00e9ployer directement en production. Ce cheat sheet vous fournit du YAML pr\u00eat \u00e0 copier-coller<\/strong> pour chaque contr\u00f4le de s\u00e9curit\u00e9 critique de GitLab CI, des variables prot\u00e9g\u00e9es \u00e0 la f\u00e9d\u00e9ration OIDC.<\/p>\n

Ajoutez cette page \u00e0 vos favoris. Utilisez-la comme r\u00e9f\u00e9rence \u00e0 chaque fois que vous configurez un nouveau projet ou auditez un projet existant.<\/p>\n

1. Variables prot\u00e9g\u00e9es, masqu\u00e9es et cach\u00e9es<\/h2>\n

Les variables CI\/CD de GitLab contr\u00f4lent la mani\u00e8re dont les secrets circulent dans vos pipelines. Une mauvaise configuration est la cause num\u00e9ro un des fuites de credentials en CI\/CD. Chaque valeur sensible devrait \u00eatre prot\u00e9g\u00e9e<\/strong> (disponible uniquement sur les branches\/tags prot\u00e9g\u00e9s), masqu\u00e9e<\/strong> (cach\u00e9e des logs de jobs) et, lorsque c’est possible, cach\u00e9e<\/strong> (invisible dans l’interface utilisateur apr\u00e8s cr\u00e9ation).<\/p>\n

D\u00e9finir des variables via l’API<\/h3>\n
# Cr\u00e9er une variable prot\u00e9g\u00e9e + masqu\u00e9e via l'API GitLab\ncurl --request POST \\\n  --header \"PRIVATE-TOKEN: $GITLAB_TOKEN\" \\\n  \"https:\/\/gitlab.example.com\/api\/v4\/projects\/$PROJECT_ID\/variables\" \\\n  --form \"key=AWS_SECRET_ACCESS_KEY\" \\\n  --form \"value=$MY_SECRET\" \\\n  --form \"protected=true\" \\\n  --form \"masked=true\" \\\n  --form \"variable_type=env_var\"<\/code><\/pre>\n
Utiliser les variables dans .gitlab-ci.yml<\/code><\/h3>\n
variables:\n  # Les variables de groupe ou de projet sont inject\u00e9es automatiquement.\n  # Les variables de type fichier sont \u00e9crites dans un chemin temporaire.\n  DEPLOY_TOKEN:\n    description: \"Token pour le d\u00e9ploiement en production\"\n    value: \"\"  # Intentionnellement vide \u2014 \u00e0 d\u00e9finir dans CI\/CD Settings\n\ndeploy_production:\n  stage: deploy\n  script:\n    - echo \"D\u00e9ploiement avec un token masqu\u00e9...\"\n    - .\/deploy.sh --token \"$DEPLOY_TOKEN\"\n  rules:\n    - if: $CI_COMMIT_BRANCH == \"main\"\n  environment:\n    name: production<\/code><\/pre>\n
R\u00e8gles cl\u00e9s :<\/strong><\/p>\n
    \n
  • Ne codez jamais les secrets en dur dans .gitlab-ci.yml<\/code> \u2014 utilisez toujours les param\u00e8tres de variables CI\/CD.<\/li>\n
  • D\u00e9finissez protected=true<\/code> pour que les secrets ne soient disponibles que sur les branches prot\u00e9g\u00e9es.<\/li>\n
  • D\u00e9finissez masked=true<\/code> pour que les valeurs soient masqu\u00e9es dans les logs de jobs.<\/li>\n
  • Utilisez des variables de groupe<\/strong> pour les secrets partag\u00e9s entre projets (par ex., credentials cloud).<\/li>\n<\/ul>\n
    2. Types de runners et restriction de port\u00e9e<\/h2>\n
    Les runners ex\u00e9cutent vos jobs CI\/CD. Si n’importe quel runner peut r\u00e9cup\u00e9rer n’importe quel job, une merge request malveillante pourrait exfiltrer des secrets depuis un runner de production. Une restriction de port\u00e9e ad\u00e9quate est essentielle.<\/p>\n
    Enregistrement d’un runner avec des tags et une protection<\/h3>\n
    # Enregistrer un runner limit\u00e9 aux branches prot\u00e9g\u00e9es uniquement\ngitlab-runner register \\\n  --non-interactive \\\n  --url \"https:\/\/gitlab.example.com\" \\\n  --token \"$RUNNER_REG_TOKEN\" \\\n  --executor docker \\\n  --docker-image alpine:latest \\\n  --tag-list \"production,protected\" \\\n  --access-level ref_protected<\/code><\/pre>\n
    Restreindre les jobs \u00e0 des runners sp\u00e9cifiques<\/h3>\n
    # .gitlab-ci.yml \u2014 s'assurer que les jobs de production ne s'ex\u00e9cutent que sur des runners prot\u00e9g\u00e9s\ndeploy_production:\n  stage: deploy\n  tags:\n    - production\n    - protected\n  script:\n    - kubectl apply -f k8s\/production\/\n  rules:\n    - if: $CI_COMMIT_BRANCH == \"main\"\n  environment:\n    name: production\n\n# Les jobs de d\u00e9veloppement utilisent un runner s\u00e9par\u00e9 et non privil\u00e9gi\u00e9\ntest:\n  stage: test\n  tags:\n    - shared\n    - development\n  script:\n    - pytest tests\/<\/code><\/pre>\n
    Bonnes pratiques :<\/strong><\/p>\n
      \n
    • Utilisez --access-level ref_protected<\/code> pour restreindre les runners aux branches et tags prot\u00e9g\u00e9s.<\/li>\n
    • Utilisez des runners sp\u00e9cifiques au projet<\/strong> pour les charges de travail sensibles \u2014 ne partagez jamais les runners de production entre des projets sans lien.<\/li>\n
    • Pr\u00e9f\u00e9rez les runners \u00e9ph\u00e9m\u00e8res<\/strong> (ex\u00e9cuteurs Docker, Kubernetes) afin que l’environnement soit d\u00e9truit apr\u00e8s chaque job.<\/li>\n
    • D\u00e9sactivez les shared runners sur les projets qui g\u00e8rent des d\u00e9ploiements sensibles.<\/li>\n<\/ul>\n
      3. Environnements prot\u00e9g\u00e9s avec approbations<\/h2>\n
      Les environnements prot\u00e9g\u00e9s ajoutent une validation humaine avant les d\u00e9ploiements. C’est votre derni\u00e8re ligne de d\u00e9fense contre les modifications non autoris\u00e9es en production.<\/p>\n
      Configuration des environnements dans .gitlab-ci.yml<\/code><\/h3>\n
      # .gitlab-ci.yml \u2014 d\u00e9ploiement avec protection de l'environnement\ndeploy_staging:\n  stage: deploy\n  script:\n    - .\/deploy.sh staging\n  environment:\n    name: staging\n    url: https:\/\/staging.example.com\n  rules:\n    - if: $CI_COMMIT_BRANCH == \"main\"\n\ndeploy_production:\n  stage: deploy\n  script:\n    - .\/deploy.sh production\n  environment:\n    name: production\n    url: https:\/\/example.com\n    deployment_tier: production\n  rules:\n    - if: $CI_COMMIT_BRANCH == \"main\"\n      when: manual\n      allow_failure: false<\/code><\/pre>\n
      Configurer les r\u00e8gles d’approbation via l’API<\/h3>\n
      # Prot\u00e9ger l'environnement de production avec des approbations obligatoires\ncurl --request POST \\\n  --header \"PRIVATE-TOKEN: $GITLAB_TOKEN\" \\\n  \"https:\/\/gitlab.example.com\/api\/v4\/projects\/$PROJECT_ID\/protected_environments\" \\\n  --data '{\"name\": \"production\", \"deploy_access_levels\": [{\"group_id\": 9899826}], \"required_approval_count\": 2, \"approval_rules\": [{\"group_id\": 9899826, \"required_approvals\": 2}]}'<\/code><\/pre>\n
      Configurez cela dans Settings > CI\/CD > Protected Environments<\/strong> dans l’interface GitLab. Exigez au minimum deux approbations<\/strong> pour les d\u00e9ploiements en production. Restreignez l’acc\u00e8s au d\u00e9ploiement \u00e0 des groupes ou utilisateurs sp\u00e9cifiques \u2014 jamais « All maintainers ».<\/p>\n
      4. Restriction de port\u00e9e du CI_JOB_TOKEN<\/h2>\n
      CI_JOB_TOKEN<\/code> est un token automatique que GitLab injecte dans chaque job. Par d\u00e9faut, il peut acc\u00e9der \u00e0 d’autres projets de votre groupe \u2014 un risque s\u00e9rieux de mouvement lat\u00e9ral. Depuis GitLab 16.0, vous devez restreindre sa port\u00e9e.<\/p>\n
      Restreindre l’acc\u00e8s du token<\/h3>\n
      # V\u00e9rifier la port\u00e9e d'acc\u00e8s actuelle du CI_JOB_TOKEN\ncurl --header \"PRIVATE-TOKEN: $GITLAB_TOKEN\" \\\n  \"https:\/\/gitlab.example.com\/api\/v4\/projects\/$PROJECT_ID\/job_token_scope\"\n\n# Limiter le CI_JOB_TOKEN \u00e0 l'acc\u00e8s \u00e0 des projets sp\u00e9cifiques uniquement\ncurl --request PATCH \\\n  --header \"PRIVATE-TOKEN: $GITLAB_TOKEN\" \\\n  \"https:\/\/gitlab.example.com\/api\/v4\/projects\/$PROJECT_ID\/job_token_scope\" \\\n  --data '{\"enabled\": true}'\n\n# Ajouter un projet \u00e0 la liste d'autorisation\ncurl --request POST \\\n  --header \"PRIVATE-TOKEN: $GITLAB_TOKEN\" \\\n  \"https:\/\/gitlab.example.com\/api\/v4\/projects\/$PROJECT_ID\/job_token_scope\/allowlist\" \\\n  --data '{\"target_project_id\": 12345}'<\/code><\/pre>\n
      Utiliser CI_JOB_TOKEN<\/code> de mani\u00e8re s\u00e9curis\u00e9e dans les pipelines<\/h3>\n
      # .gitlab-ci.yml \u2014 utiliser CI_JOB_TOKEN pour des d\u00e9clenchements cross-project\ntrigger_deploy:\n  stage: deploy\n  trigger:\n    project: my-group\/deploy-project\n    branch: main\n    strategy: depend\n  # CI_JOB_TOKEN est utilis\u00e9 automatiquement pour le d\u00e9clenchement.\n  # Le projet cible doit autoriser le token de ce projet.<\/code><\/pre>\n
      R\u00e8gles cl\u00e9s :<\/strong> Activez la limitation de port\u00e9e du CI\/CD job token sur chaque projet. N’autorisez que les projets sp\u00e9cifiques qui ont v\u00e9ritablement besoin d’un acc\u00e8s cross-project. Auditez les listes d’autorisation chaque trimestre.<\/p>\n
      5. id_tokens<\/code> OIDC pour AWS et GCP<\/h2>\n
      La f\u00e9d\u00e9ration OIDC \u00e9limine totalement les credentials cloud \u00e0 longue dur\u00e9e de vie de vos variables CI\/CD. GitLab \u00e9met un JWT \u00e0 courte dur\u00e9e de vie, et votre fournisseur cloud l’\u00e9change contre des credentials temporaires. C’est le standard de r\u00e9f\u00e9rence pour l’authentification cloud dans les pipelines.<\/p>\n
      F\u00e9d\u00e9ration OIDC avec AWS<\/h3>\n
      # .gitlab-ci.yml \u2014 authentification OIDC avec AWS\ndeploy_aws:\n  stage: deploy\n  image: amazon\/aws-cli:latest\n  id_tokens:\n    GITLAB_OIDC_TOKEN:\n      aud: https:\/\/gitlab.example.com\n  variables:\n    ROLE_ARN: arn:aws:iam::123456789012:role\/gitlab-ci-deploy\n  script:\n    - >\n      export $(printf \"AWS_ACCESS_KEY_ID=%s AWS_SECRET_ACCESS_KEY=%s AWS_SESSION_TOKEN=%s\"\n      $(aws sts assume-role-with-web-identity\n      --role-arn $ROLE_ARN\n      --role-session-name \"GitLabCI-${CI_PROJECT_ID}-${CI_PIPELINE_ID}\"\n      --web-identity-token \"$GITLAB_OIDC_TOKEN\"\n      --duration-seconds 3600\n      --query 'Credentials.[AccessKeyId,SecretAccessKey,SessionToken]'\n      --output text))\n    - aws s3 sync .\/build s3:\/\/my-production-bucket\/\n  rules:\n    - if: $CI_COMMIT_BRANCH == \"main\"\n  environment:\n    name: production<\/code><\/pre>\n
      F\u00e9d\u00e9ration d’identit\u00e9 de charge de travail GCP<\/h3>\n
      # .gitlab-ci.yml \u2014 authentification OIDC avec GCP\ndeploy_gcp:\n  stage: deploy\n  image: google\/cloud-sdk:latest\n  id_tokens:\n    GITLAB_OIDC_TOKEN:\n      aud: https:\/\/gitlab.example.com\n  script:\n    - echo \"$GITLAB_OIDC_TOKEN\" > \/tmp\/gitlab_token.txt\n    - >\n      gcloud iam workload-identity-pools create-cred-config\n      projects\/$GCP_PROJECT_NUMBER\/locations\/global\/workloadIdentityPools\/$POOL_ID\/providers\/$PROVIDER_ID\n      --service-account=\"$GCP_SERVICE_ACCOUNT\"\n      --output-file=\/tmp\/gcp_creds.json\n      --credential-source-file=\/tmp\/gitlab_token.txt\n    - export GOOGLE_APPLICATION_CREDENTIALS=\/tmp\/gcp_creds.json\n    - gcloud config set project $GCP_PROJECT_ID\n    - gcloud run deploy my-service --image gcr.io\/$GCP_PROJECT_ID\/my-app:$CI_COMMIT_SHA\n  rules:\n    - if: $CI_COMMIT_BRANCH == \"main\"\n  environment:\n    name: production<\/code><\/pre>\n
      C\u00f4t\u00e9 cloud, configurez la politique de confiance pour valider des claims comme project_path<\/code>, ref<\/code> et ref_protected<\/code> afin que seuls des projets et des branches sp\u00e9cifiques puissent assumer le r\u00f4le.<\/p>\n
      6. S\u00e9curit\u00e9 des pipelines de merge request<\/h2>\n
      Les pipelines de merge request s’ex\u00e9cutent sur du code qui n’a pas encore \u00e9t\u00e9 valid\u00e9 par une revue. Traitez-les comme non fiables. N’exposez jamais les secrets de production aux pipelines de MR.<\/p>\n
      # .gitlab-ci.yml \u2014 r\u00e8gles distinctes pour les pipelines de MR vs. de branche\ntest:\n  stage: test\n  script:\n    - pytest tests\/\n  rules:\n    - if: $CI_PIPELINE_SOURCE == \"merge_request_event\"\n    - if: $CI_COMMIT_BRANCH == \"main\"\n\ndeploy_production:\n  stage: deploy\n  script:\n    - .\/deploy.sh production\n  rules:\n    # Ne JAMAIS ex\u00e9cuter sur les pipelines de merge request\n    - if: $CI_PIPELINE_SOURCE == \"merge_request_event\"\n      when: never\n    - if: $CI_COMMIT_BRANCH == \"main\"\n  environment:\n    name: production<\/code><\/pre>\n
      Contr\u00f4les critiques :<\/strong><\/p>\n