{"id":456,"date":"2026-03-24T08:56:54","date_gmt":"2026-03-24T07:56:54","guid":{"rendered":"https:\/\/secure-pipelines.com\/?p=456"},"modified":"2026-03-24T08:57:05","modified_gmt":"2026-03-24T07:57:05","slug":"github-actions-security-cheat-sheet","status":"publish","type":"post","link":"https:\/\/secure-pipelines.com\/fr\/ci-cd-security\/github-actions-security-cheat-sheet\/","title":{"rendered":"Cheat Sheet S\u00e9curit\u00e9 GitHub Actions : Permissions, Pinning, Secrets et OIDC"},"content":{"rendered":"

1. Permissions \u2014 Principe du moindre privil\u00e8ge<\/h2>\n

Le changement le plus impactant que vous puissiez apporter \u00e0 n’importe quel workflow GitHub Actions est de verrouiller les permissions. Par d\u00e9faut, GITHUB_TOKEN<\/code> dispose d’un acc\u00e8s en lecture et \u00e9criture<\/strong> sur la plupart des scopes. Corrigez cela imm\u00e9diatement.<\/p>\n

Permissions en lecture seule par d\u00e9faut (niveau global)<\/h3>\n

Placez ceci en haut de chaque fichier workflow<\/strong> pour d\u00e9finir la lecture seule comme valeur par d\u00e9faut pour tous les jobs :<\/p>\n

# .github\/workflows\/ci.yml\nname: CI\non: [push, pull_request]\n\npermissions: read-all\n\njobs:\n  build:\n    runs-on: ubuntu-latest\n    steps:\n      - uses: actions\/checkout@v4<\/code><\/pre>\n
Permissions vides (aucun acc\u00e8s)<\/h3>\n
Pour les jobs qui n’interagissent jamais avec les API GitHub ni le d\u00e9p\u00f4t, supprimez toutes les permissions :<\/p>\n
jobs:\n  lint:\n    runs-on: ubuntu-latest\n    permissions: {}\n    steps:\n      - uses: actions\/checkout@v4\n      - run: npm run lint<\/code><\/pre>\n
Pourquoi \u00e7a fonctionne :<\/strong> actions\/checkout<\/code> utilise le token pour les d\u00e9p\u00f4ts priv\u00e9s mais se rabat sur un clone anonyme pour les d\u00e9p\u00f4ts publics. Si votre d\u00e9p\u00f4t est public, permissions: {}<\/code> est s\u00fbr pour le checkout.<\/p>\n
Recettes de permissions par job<\/h3>\n
N’accordez que ce dont chaque job a besoin :<\/p>\n
# Checkout uniquement (d\u00e9p\u00f4t priv\u00e9)\njobs:\n  test:\n    permissions:\n      contents: read\n    runs-on: ubuntu-latest\n    steps:\n      - uses: actions\/checkout@v4\n\n# D\u00e9ployer sur GitHub Pages\njobs:\n  deploy-pages:\n    permissions:\n      pages: write\n      id-token: write\n    runs-on: ubuntu-latest\n\n# Pousser vers GitHub Container Registry (GHCR)\njobs:\n  push-image:\n    permissions:\n      contents: read\n      packages: write\n    runs-on: ubuntu-latest\n\n# Cr\u00e9er une GitHub Release\njobs:\n  release:\n    permissions:\n      contents: write\n    runs-on: ubuntu-latest\n\n# Commenter une Pull Request\njobs:\n  comment:\n    permissions:\n      pull-requests: write\n    runs-on: ubuntu-latest<\/code><\/pre>\n
R\u00e8gle d’or :<\/strong> Commencez avec permissions: {}<\/code> et ajoutez les scopes un par un jusqu’\u00e0 ce que le job r\u00e9ussisse. Ne laissez jamais les permissions lecture-\u00e9criture par d\u00e9faut en place.<\/p>\n
2. Pinning des actions \u2014 Arr\u00eatez d’utiliser les tags<\/h2>\n
Les tags comme @v4<\/code> sont mutables. Un attaquant qui compromet une action populaire peut d\u00e9placer le tag vers un commit malveillant. \u00c9pinglez chaque action tierce \u00e0 un SHA complet.<\/strong><\/p>\n
\u00c9pingl\u00e9 vs. Non \u00e9pingl\u00e9<\/h3>\n
# DANGEREUX \u2014 le tag peut \u00eatre d\u00e9plac\u00e9 vers n'importe quel commit\n- uses: actions\/checkout@v4\n\n# S\u00dbR \u2014 r\u00e9f\u00e9rence de commit immuable\n- uses: actions\/checkout@b4ffde65f46336ab88eb53be808477a3936bae11 # v4.1.1<\/code><\/pre>\n
Le commentaire en fin de ligne pr\u00e9serve la lisibilit\u00e9 tandis que le SHA verrouille le code exact que vous avez audit\u00e9.<\/p>\n
Trouver le SHA de n’importe quelle action<\/h3>\n
# Obtenir le SHA complet pour un tag sp\u00e9cifique\ngit ls-remote --tags https:\/\/github.com\/actions\/checkout.git v4.1.1\n\n# Ou utiliser l'API GitHub\ngh api repos\/actions\/checkout\/git\/ref\/tags\/v4.1.1 --jq '.object.sha'<\/code><\/pre>\n
Automatiser les mises \u00e0 jour avec Dependabot<\/h3>\n
\u00c9pingler par SHA ne signifie pas que vous arr\u00eatez de mettre \u00e0 jour. Laissez Dependabot proposer automatiquement les mont\u00e9es de version :<\/p>\n
# .github\/dependabot.yml\nversion: 2\nupdates:\n  - package-ecosystem: github-actions\n    directory: \"\/\"\n    schedule:\n      interval: weekly\n    commit-message:\n      prefix: \"ci\"\n    reviewers:\n      - \"your-org\/security-team\"\n    labels:\n      - \"dependencies\"\n      - \"ci\"<\/code><\/pre>\n
Dependabot comprend les pins SHA. Il mettra \u00e0 jour le SHA et<\/em> le commentaire du tag en une seule PR.<\/p>\n
3. Gestion des secrets<\/h2>\n
GitHub propose trois p\u00e9rim\u00e8tres de secrets. Choisissez le bon pour minimiser le rayon d’impact.<\/p>\n
Comparaison des p\u00e9rim\u00e8tres de secrets<\/h3>\n\n\n\n\n\n\n\n
P\u00e9rim\u00e8tre<\/th>\nVisibilit\u00e9<\/th>\nId\u00e9al pour<\/th>\n<\/tr>\n<\/thead>\n
Repository<\/strong><\/td>\nTous les workflows d’un d\u00e9p\u00f4t<\/td>\nCl\u00e9s API sp\u00e9cifiques au d\u00e9p\u00f4t, tokens<\/td>\n<\/tr>\n
Environment<\/strong><\/td>\nUniquement les jobs ciblant cet environnement<\/td>\nIdentifiants de production, cl\u00e9s de d\u00e9ploiement<\/td>\n<\/tr>\n
Organization<\/strong><\/td>\nD\u00e9p\u00f4ts s\u00e9lectionn\u00e9s dans l’organisation<\/td>\nComptes de service partag\u00e9s, identifiants de registre<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
R\u00e8gles de protection des environnements<\/h3>\n
Les environnements vous permettent de conditionner les d\u00e9ploiements \u00e0 des approbations, des d\u00e9lais d’attente et des restrictions de branches :<\/p>\n
jobs:\n  deploy-production:\n    runs-on: ubuntu-latest\n    environment:\n      name: production\n      url: https:\/\/app.example.com\n    permissions:\n      id-token: write\n      contents: read\n    steps:\n      - uses: actions\/checkout@b4ffde65f46336ab88eb53be808477a3936bae11 # v4.1.1\n      - name: Deploy\n        run: .\/deploy.sh\n        env:\n          DEPLOY_KEY: ${{ secrets.PRODUCTION_DEPLOY_KEY }}<\/code><\/pre>\n
Ensuite, configurez l’environnement production<\/code> dans Settings \u2192 Environments<\/strong> avec :<\/p>\n
    \n
  • R\u00e9viseurs requis (au moins 1)<\/li>\n
  • D\u00e9lai d’attente (par ex. 5 minutes)<\/li>\n
  • Restriction de branche de d\u00e9ploiement : main<\/code> uniquement<\/li>\n<\/ul>\n
    La zone de danger pull_request vs pull_request_target<\/h3>\n
    C’est l’une des incompr\u00e9hensions les plus dangereuses dans GitHub Actions :<\/p>\n\n\n\n\n\n\n
    D\u00e9clencheur<\/th>\nCode extrait<\/th>\nSecrets disponibles ?<\/th>\nRisque<\/th>\n<\/tr>\n<\/thead>\n
    pull_request<\/code><\/td>\nCommit de merge de la PR<\/td>\nNon (forks)<\/td>\nFaible<\/td>\n<\/tr>\n
    pull_request_target<\/code><\/td>\nBranche de base<\/td>\nOui<\/strong><\/td>\nCritique si vous extrayez le code de la PR<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
    Ne faites jamais ceci :<\/strong><\/p>\n
    # VULN\u00c9RABILIT\u00c9 CRITIQUE \u2014 secrets expos\u00e9s au code de la PR du fork\non: pull_request_target\njobs:\n  build:\n    runs-on: ubuntu-latest\n    steps:\n      - uses: actions\/checkout@v4\n        with:\n          ref: ${{ github.event.pull_request.head.sha }}  # Extrait du code NON FIABLE du fork\n      - run: .\/build.sh  # Ex\u00e9cute du code contr\u00f4l\u00e9 par l'attaquant AVEC les secrets<\/code><\/pre>\n
    Si vous avez besoin de pull_request_target<\/code>, n’extrayez jamais le head de la PR. Utilisez-le uniquement pour \u00e9tiqueter ou commenter sur le code de la branche de base.<\/p>\n
    4. OIDC \/ Workload Identity Federation<\/h2>\n
    Cessez de stocker des identifiants cloud \u00e0 longue dur\u00e9e de vie comme secrets. Utilisez OpenID Connect pour obtenir des tokens \u00e0 courte dur\u00e9e de vie directement aupr\u00e8s de votre fournisseur cloud.<\/p>\n
    Bloc de permissions requis pour tous les workflows OIDC :<\/strong><\/p>\n
    permissions:\n  id-token: write   # Requis pour demander le JWT OIDC\n  contents: read    # Requis pour actions\/checkout<\/code><\/pre>\n
    AWS \u2014 Configurer OIDC<\/h3>\n
    - name: Configure AWS Credentials\n  uses: aws-actions\/configure-aws-credentials@e3dd6a429d7300a6a4c196c26e071d42e0343502 # v4.0.2\n  with:\n    role-to-assume: arn:aws:iam::123456789012:role\/GitHubActions\n    aws-region: us-east-1<\/code><\/pre>\n
    Mod\u00e8le de politique de confiance AWS :<\/strong><\/p>\n
    {\n  \"Version\": \"2012-10-17\",\n  \"Statement\": [\n    {\n      \"Effect\": \"Allow\",\n      \"Principal\": {\n        \"Federated\": \"arn:aws:iam::123456789012:oidc-provider\/token.actions.githubusercontent.com\"\n      },\n      \"Action\": \"sts:AssumeRoleWithWebIdentity\",\n      \"Condition\": {\n        \"StringEquals\": {\n          \"token.actions.githubusercontent.com:aud\": \"sts.amazonaws.com\"\n        },\n        \"StringLike\": {\n          \"token.actions.githubusercontent.com:sub\": \"repo:your-org\/your-repo:ref:refs\/heads\/main\"\n        }\n      }\n    }\n  ]\n}<\/code><\/pre>\n
    GCP \u2014 Workload Identity Federation<\/h3>\n
    - name: Authenticate to Google Cloud\n  uses: google-github-actions\/auth@55bd8e7c523b4b80c1b4b5e492ffb613a15f2591 # v2.1.3\n  with:\n    workload_identity_provider: projects\/123456\/locations\/global\/workloadIdentityPools\/github\/providers\/github\n    service_account: github-actions@my-project.iam.gserviceaccount.com<\/code><\/pre>\n
    Azure \u2014 Federated Credentials<\/h3>\n
    - name: Azure Login\n  uses: azure\/login@6c251865b4e6290e7b78be643ea2d005bc51f69a # v2.1.1\n  with:\n    client-id: ${{ secrets.AZURE_CLIENT_ID }}\n    tenant-id: ${{ secrets.AZURE_TENANT_ID }}\n    subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}<\/code><\/pre>\n
    Avantage cl\u00e9 :<\/strong> Aucun identifiant statique stock\u00e9 nulle part. Les tokens expirent en quelques minutes. La politique de confiance restreint quels d\u00e9p\u00f4ts, branches et environnements peuvent assumer le r\u00f4le.<\/p>\n
    5. D\u00e9clencheurs de workflow \u2014 S\u00fbrs vs. Dangereux<\/h2>\n
    Tous les d\u00e9clencheurs ne se valent pas. Certains ex\u00e9cutent du code provenant de sources non fiables ou accordent des permissions \u00e9lev\u00e9es.<\/p>\n
    Tableau de s\u00e9curit\u00e9 des d\u00e9clencheurs<\/h3>\n\n\n\n\n\n\n\n\n\n\n\n
    D\u00e9clencheur<\/th>\nNiveau de risque<\/th>\nNotes<\/th>\n<\/tr>\n<\/thead>\n
    push<\/code><\/td>\nFaible<\/td>\nN’ex\u00e9cute que du code d\u00e9j\u00e0 fusionn\u00e9<\/td>\n<\/tr>\n
    pull_request<\/code><\/td>\nFaible<\/td>\nPas de secrets pour les forks<\/td>\n<\/tr>\n
    schedule<\/code><\/td>\nFaible<\/td>\nS’ex\u00e9cute sur la branche par d\u00e9faut<\/td>\n<\/tr>\n
    workflow_dispatch<\/code><\/td>\nMoyen<\/td>\nD\u00e9clencheur manuel \u2014 validez les entr\u00e9es<\/td>\n<\/tr>\n
    pull_request_target<\/code><\/td>\n\u00c9lev\u00e9<\/strong><\/td>\nSecrets disponibles \u2014 voir Section 3<\/td>\n<\/tr>\n
    issue_comment<\/code><\/td>\n\u00c9lev\u00e9<\/strong><\/td>\nN’importe quel commentateur peut d\u00e9clencher \u2014 contr\u00f4lez avec des v\u00e9rifications de permissions<\/td>\n<\/tr>\n
    workflow_run<\/code><\/td>\n\u00c9lev\u00e9<\/strong><\/td>\nH\u00e9rite du contexte \u00e9lev\u00e9 du workflow d\u00e9clencheur<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
    Filtrage par branche et chemin<\/h3>\n
    R\u00e9duisez les ex\u00e9cutions inutiles et limitez l’exposition :<\/p>\n
    on:\n  push:\n    branches:\n      - main\n      - 'releases\/**'\n    paths:\n      - 'src\/**'\n      - 'package.json'\n    paths-ignore:\n      - 'docs\/**'\n      - '*.md'<\/code><\/pre>\n
    Contr\u00f4le de la concurrence<\/h3>\n
    Emp\u00eachez plusieurs d\u00e9ploiements de se chevaucher :<\/p>\n
    concurrency:\n  group: deploy-${{ github.ref }}\n  cancel-in-progress: false  # Ne pas annuler les d\u00e9ploiements en cours\n\n# Pour les builds de PR o\u00f9 annuler les anciennes ex\u00e9cutions est s\u00fbr :\nconcurrency:\n  group: ci-${{ github.event.pull_request.number || github.sha }}\n  cancel-in-progress: true<\/code><\/pre>\n
    6. S\u00e9curit\u00e9 des actions tierces<\/h2>\n
    Chaque ligne uses:<\/code> dans votre workflow est une d\u00e9pendance de la cha\u00eene d’approvisionnement. Traitez-la comme n’importe quelle autre d\u00e9pendance.<\/p>\n
    Checklist d’audit<\/h3>\n
    Avant d’adopter une action tierce, v\u00e9rifiez :<\/p>\n