Project<\/strong><\/td>\n| Disponible pour un seul projet uniquement<\/td>\n | Meilleure isolation. Vous contr\u00f4lez la machine, la configuration Docker et l\u2019acc\u00e8s r\u00e9seau.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\u00c9tape 1 \u2014 Enregistrer un Runner Sp\u00e9cifique au Projet<\/h3>\nSur une machine que vous contr\u00f4lez (une VM, un serveur disponible ou m\u00eame un h\u00f4te Docker local), installez GitLab Runner et enregistrez-le :<\/p>\n # Installer GitLab Runner (Linux amd64)\nsudo curl -L --output \/usr\/local\/bin\/gitlab-runner \\\n https:\/\/gitlab-runner-downloads.s3.amazonaws.com\/latest\/binaries\/gitlab-runner-linux-amd64\nsudo chmod +x \/usr\/local\/bin\/gitlab-runner\nsudo gitlab-runner install --user=gitlab-runner --working-directory=\/home\/gitlab-runner\nsudo gitlab-runner start\n\n# Enregistrer le runner\n# Trouvez votre token d'enregistrement : Settings > CI\/CD > Runners > Expand > New project runner\nsudo gitlab-runner register \\\n --non-interactive \\\n --url https:\/\/gitlab.com\/ \\\n --token \"$RUNNER_TOKEN\" \\\n --executor docker \\\n --docker-image alpine:latest \\\n --description \"secure-deploy-runner\" \\\n --tag-list \"secure-deploy\" \\\n --access-level ref_protected\n<\/code><\/pre>\nL\u2019indicateur critique est --access-level ref_protected<\/code>. Il indique \u00e0 GitLab que le runner n\u2019acceptera que les jobs provenant de branches ou tags prot\u00e9g\u00e9s<\/strong>. Un pipeline d\u00e9clench\u00e9 par une branche de fonctionnalit\u00e9 ou une merge request de fork ne sera jamais planifi\u00e9 sur ce runner.<\/p>\n\u00c9tape 2 \u2014 D\u00e9sactiver les Runners Partag\u00e9s pour les Jobs Sensibles<\/h3>\nAllez dans Settings > CI\/CD > Runners<\/strong> et basculez Enable shared runners for this project<\/strong> sur d\u00e9sactiv\u00e9 \u2014 ou laissez-les activ\u00e9s pour les \u00e9tapes non sensibles et utilisez des tags pour diriger les jobs sensibles vers votre runner de projet.<\/p>\n\u00c9tape 3 \u2014 Mettre \u00e0 Jour le Pipeline avec une S\u00e9lection de Runner par Tags<\/h3>\n# .gitlab-ci.yml \u2014 Exercice 2\nstages:\n - build\n - test\n - deploy\n\nbuild-job:\n stage: build\n # S'ex\u00e9cute sur n'importe quel runner disponible (partag\u00e9 convient pour les builds)\n script:\n - echo \"Building the application...\"\n\ntest-job:\n stage: test\n script:\n - echo \"Running tests...\"\n\ndeploy-job:\n stage: deploy\n tags:\n - secure-deploy # S'ex\u00e9cute uniquement sur le(s) runner(s) avec ce tag\n script:\n - echo \"Deploying with DEPLOY_TOKEN...\"\n - |\n curl --fail --silent --header \"PRIVATE-TOKEN: $DEPLOY_TOKEN\" \\\n https:\/\/gitlab.com\/api\/v4\/projects\/$CI_PROJECT_ID\/releases\n rules:\n - if: $CI_COMMIT_BRANCH == \"main\"\n<\/code><\/pre>\nParce que le runner secure-deploy<\/code> est enregistr\u00e9 avec l\u2019acc\u00e8s ref_protected<\/code>, ce job de d\u00e9ploiement ne s\u2019ex\u00e9cutera que sur le runner sp\u00e9cifique au projet et<\/strong> uniquement lorsque le pipeline provient d\u2019une r\u00e9f\u00e9rence prot\u00e9g\u00e9e.<\/p>\nExercice 3 : Environnements Prot\u00e9g\u00e9s et Approbations de D\u00e9ploiement<\/h2>\nM\u00eame avec des variables prot\u00e9g\u00e9es et des runners \u00e0 port\u00e9e limit\u00e9e, vous pouvez souhaiter une validation humaine avant que le code n\u2019atteigne la production. Les environnements prot\u00e9g\u00e9s<\/strong> de GitLab fournissent exactement cela.<\/p>\n\u00c9tape 1 \u2014 Cr\u00e9er les Environnements<\/h3>\n\n- Naviguez vers Operate > Environments > New environment<\/strong>.<\/li>\n
- Cr\u00e9ez deux environnements :
staging<\/code> et production<\/code>.<\/li>\n<\/ol>\n\u00c9tape 2 \u2014 Prot\u00e9ger l\u2019Environnement de Production<\/h3>\n\n- Allez dans Settings > CI\/CD > Protected environments<\/strong> (disponible sur Premium\/Ultimate, ou sur le plan gratuit en auto-h\u00e9berg\u00e9).<\/li>\n
- S\u00e9lectionnez
production<\/code>.<\/li>\n- Sous Allowed to deploy<\/strong>, restreignez aux
Maintainers<\/code> (ou \u00e0 un utilisateur sp\u00e9cifique).<\/li>\n- Sous Required approvals<\/strong>, d\u00e9finissez \u00e0 1<\/strong> (ou plus, selon votre politique).<\/li>\n
- Ajoutez le(s) approbateur(s) d\u00e9sign\u00e9(s).<\/li>\n<\/ol>\n
\u00c9tape 3 \u2014 Mettre \u00e0 Jour le Pipeline avec les D\u00e9finitions d\u2019Environnements<\/h3>\n# .gitlab-ci.yml \u2014 Exercice 3\nstages:\n - build\n - test\n - deploy\n\nbuild-job:\n stage: build\n script:\n - echo \"Building the application...\"\n\ntest-job:\n stage: test\n script:\n - echo \"Running tests...\"\n\ndeploy-staging:\n stage: deploy\n environment:\n name: staging\n url: https:\/\/staging.example.com\n script:\n - echo \"Deploying to staging...\"\n rules:\n - if: $CI_COMMIT_BRANCH == \"main\"\n\ndeploy-production:\n stage: deploy\n tags:\n - secure-deploy\n environment:\n name: production\n url: https:\/\/prod.example.com\n script:\n - echo \"Deploying to production...\"\n rules:\n - if: $CI_COMMIT_BRANCH == \"main\"\n when: manual # N\u00e9cessite un clic humain\n allow_failure: false # Le pipeline reste bloqu\u00e9 jusqu'\u00e0 approbation\n<\/code><\/pre>\nFonctionnement de l\u2019Approbation<\/h3>\n\n- Un push sur
main<\/code> d\u00e9clenche le pipeline.<\/li>\ndeploy-staging<\/code> s\u2019ex\u00e9cute automatiquement.<\/li>\ndeploy-production<\/code> affiche un bouton Play<\/strong> dans l\u2019interface du pipeline.<\/li>\n- Cliquer sur Play<\/strong> ne lance pas imm\u00e9diatement le job \u2014 GitLab v\u00e9rifie les r\u00e8gles de protection de l\u2019environnement et pr\u00e9sente une bo\u00eete de dialogue d\u2019approbation<\/strong> au(x) approbateur(s) d\u00e9sign\u00e9(s).<\/li>\n
- Le job ne d\u00e9marre qu\u2019apr\u00e8s avoir re\u00e7u le nombre d\u2019approbations requis.<\/li>\n<\/ol>\n
Cette double porte \u2014 when: manual<\/code> plus approbation d\u2019environnement \u2014 garantit qu\u2019aucune personne seule ne peut pousser du code directement en production sans revue.<\/p>\nExercice 4 : Port\u00e9e du CI_JOB_TOKEN<\/h2>\nChaque job GitLab CI re\u00e7oit un token automatique dans la variable CI_JOB_TOKEN<\/code>. Ce token authentifie les requ\u00eates API et Git en tant que projet du pipeline<\/em>. Par d\u00e9faut, sa port\u00e9e est dangereusement large.<\/p>\nLe Risque<\/h3>\nSans restrictions, un job dans le Projet A peut utiliser CI_JOB_TOKEN<\/code> pour cloner ou appeler l\u2019API de n\u2019importe quel autre projet<\/em> dans le m\u00eame groupe (ou instance, selon les param\u00e8tres). Si un contributeur malveillant injecte un script dans un job CI, il peut exfiltrer du code depuis des d\u00e9p\u00f4ts non li\u00e9s.<\/p>\n\u00c9tape 1 \u2014 Restreindre la Port\u00e9e du Token<\/h3>\n\n- Allez dans Settings > CI\/CD > Token Access<\/strong>.<\/li>\n
- Basculez Limit access to this project<\/strong> sur Enabled<\/strong>.<\/li>\n
- Sous Allow CI job tokens from the following projects to access this project<\/strong>, ajoutez uniquement les projets qui ont r\u00e9ellement besoin d\u2019acc\u00e8s (mod\u00e8le de liste d\u2019autorisation).<\/li>\n
- Sous Limit CI_JOB_TOKEN access to the following projects<\/strong> (sortant), ajoutez uniquement les projets que votre pipeline doit atteindre.<\/li>\n<\/ol>\n
\u00c9tape 2 \u2014 Tester l\u2019Acc\u00e8s<\/h3>\n# .gitlab-ci.yml \u2014 Exercice 4\nstages:\n - test\n\ntest-token-allowed:\n stage: test\n script:\n - echo \"Cloning an allowed project...\"\n - git clone https:\/\/gitlab-ci-token:${CI_JOB_TOKEN}@gitlab.com\/my-group\/allowed-project.git\n - echo \"Success \u2014 access permitted\"\n\ntest-token-denied:\n stage: test\n script:\n - echo \"Cloning a non-allowed project...\"\n - git clone https:\/\/gitlab-ci-token:${CI_JOB_TOKEN}@gitlab.com\/my-group\/restricted-project.git\n # Sortie attendue : remote: HTTP Basic: Access denied\n # fatal: Authentication failed \u2014 403 Forbidden\n allow_failure: true\n<\/code><\/pre>\n\u00c9tape 3 \u2014 V\u00e9rifier<\/h3>\n\n- Ex\u00e9cutez le pipeline.
test-token-allowed<\/code> r\u00e9ussit et clone le projet autoris\u00e9.<\/li>\ntest-token-denied<\/code> \u00e9choue avec 403 Forbidden<\/strong> car restricted-project<\/code> n\u2019est pas dans la liste d\u2019autorisation.<\/li>\n<\/ol>\nLe\u00e7on cl\u00e9 :<\/strong> Restreignez toujours le CI_JOB_TOKEN<\/code> \u00e0 l\u2019ensemble minimal de projets dont votre pipeline a r\u00e9ellement besoin. Consid\u00e9rez la port\u00e9e par d\u00e9faut \u00ab ouverte \u00bb comme une mauvaise configuration.<\/p>\nExercice 5 : S\u00e9curit\u00e9 des Pipelines de Merge Request<\/h2>\nLes pipelines de merge request (MR) s\u2019ex\u00e9cutent lorsqu\u2019un contributeur ouvre ou met \u00e0 jour une merge request. Ils sont essentiels pour la qualit\u00e9 du code \u2014 mais ils peuvent aussi constituer un vecteur d\u2019attaque s\u2019ils ne sont pas configur\u00e9s avec soin.<\/p>\n Le Risque<\/h3>\nLorsqu\u2019un contributeur externe fork votre projet et ouvre une MR, GitLab peut ex\u00e9cuter un pipeline sur cette MR. Si le pipeline a acc\u00e8s \u00e0 des variables prot\u00e9g\u00e9es ou \u00e0 des runners privil\u00e9gi\u00e9s, le code du contributeur pourrait exfiltrer des secrets.<\/p>\n \u00c9tape 1 \u2014 Configurer les R\u00e8gles de Pipeline MR<\/h3>\n# .gitlab-ci.yml \u2014 Exercice 5\nstages:\n - validate\n - build\n - deploy\n\n# --- Jobs s\u00fbrs pour les pipelines MR (aucun secret n\u00e9cessaire) ---\nlint:\n stage: validate\n script:\n - echo \"Linting code...\"\n rules:\n - if: $CI_PIPELINE_SOURCE == \"merge_request_event\"\n - if: $CI_COMMIT_BRANCH == \"main\"\n\nunit-tests:\n stage: validate\n script:\n - echo \"Running unit tests...\"\n rules:\n - if: $CI_PIPELINE_SOURCE == \"merge_request_event\"\n - if: $CI_COMMIT_BRANCH == \"main\"\n\n# --- Jobs n\u00e9cessitant des secrets \u2014 ne jamais ex\u00e9cuter sur les pipelines MR ---\nbuild-image:\n stage: build\n script:\n - echo \"Building and pushing Docker image...\"\n - echo \"Using REGISTRY_TOKEN = $REGISTRY_TOKEN\" # Protected + Masked\n rules:\n - if: $CI_COMMIT_BRANCH == \"main\"\n\ndeploy-production:\n stage: deploy\n tags:\n - secure-deploy\n environment:\n name: production\n url: https:\/\/prod.example.com\n script:\n - echo \"Deploying to production...\"\n rules:\n - if: $CI_COMMIT_BRANCH == \"main\"\n when: manual\n<\/code><\/pre>\nGestion des Pipelines MR de Forks par GitLab<\/h3>\n\n- Les pipelines d\u00e9clench\u00e9s par
merge_request_event<\/code> depuis un fork<\/strong> s\u2019ex\u00e9cutent automatiquement avec des permissions limit\u00e9es<\/strong>.<\/li>\n- Les variables prot\u00e9g\u00e9es ne sont jamais<\/strong> inject\u00e9es dans les pipelines MR de forks.<\/li>\n
- Le
CI_JOB_TOKEN<\/code> dans les pipelines de forks a une port\u00e9e r\u00e9duite \u2014 il ne peut acc\u00e9der qu\u2019au projet source (fork), pas au projet cible.<\/li>\n<\/ul>\nEn s\u00e9parant vos jobs en \u00ab s\u00fbrs pour les MR \u00bb (lint, test) et \u00ab n\u00e9cessitant des secrets \u00bb (build, deploy), vous garantissez que les contributeurs peuvent valider leur code sans exposer les identifiants.<\/p>\n Bonnes Pratiques pour les Pipelines MR<\/h3>\n\n- N\u2019utilisez jamais
only\/except<\/code> \u2014 pr\u00e9f\u00e9rez rules:<\/code> pour plus de clart\u00e9 et de fiabilit\u00e9.<\/li>\n- Conditionnez les jobs d\u00e9pendant de secrets avec
if: $CI_COMMIT_BRANCH == \"main\"<\/code> (ou une autre r\u00e9f\u00e9rence prot\u00e9g\u00e9e).<\/li>\n- Envisagez d\u2019activer Pipelines must succeed<\/strong> sous Settings > Merge requests<\/strong> pour exiger que le pipeline MR r\u00e9ussisse avant la fusion.<\/li>\n
- Activez les Merged results pipelines<\/strong> pour tester le r\u00e9sultat de la fusion<\/em> plut\u00f4t que la seule branche source \u2014 cela d\u00e9tecte les probl\u00e8mes d\u2019int\u00e9gration plus t\u00f4t.<\/li>\n<\/ul>\n
Exercice 6 : Renforcement Suppl\u00e9mentaire<\/h2>\nAvec les variables, runners, environnements, tokens et pipelines MR s\u00e9curis\u00e9s, plusieurs contr\u00f4les suppl\u00e9mentaires am\u00e8nent votre pipeline \u00e0 un niveau de s\u00e9curit\u00e9 pr\u00eat pour la production.<\/p>\n D\u00e9lais d\u2019Expiration des Jobs<\/h3>\nLes jobs sans limite de temps peuvent \u00eatre exploit\u00e9s pour le crypto-mining ou utilis\u00e9s pour maintenir un acc\u00e8s persistant. D\u00e9finissez des d\u00e9lais explicites :<\/p>\n deploy-production:\n stage: deploy\n timeout: 10 minutes\n script:\n - echo \"Deploying...\"\n<\/code><\/pre>\nPipelines Interruptibles<\/h3>\n\u00c9vitez le gaspillage de ressources et limitez la fen\u00eatre d\u2019exploitation des jobs malveillants de longue dur\u00e9e en marquant les jobs non critiques comme interruptibles :<\/p>\n lint:\n stage: validate\n interruptible: true # Annul\u00e9 automatiquement si un pipeline plus r\u00e9cent d\u00e9marre\n script:\n - echo \"Linting...\"\n<\/code><\/pre>\nR\u00e8gles de Push (Restreindre la Cr\u00e9ation de Pipelines)<\/h3>\nSous Settings > Repository > Push rules<\/strong>, vous pouvez :<\/p>\n\n- Rejeter les commits non sign\u00e9s<\/strong> \u2014 garantit que chaque commit est sign\u00e9 GPG.<\/li>\n
- Restreindre les noms de branches<\/strong> \u2014 imposer une convention de nommage (ex.
feature\/*<\/code>, bugfix\/*<\/code>).<\/li>\n- Emp\u00eacher le push de secrets<\/strong> \u2014 la r\u00e8gle de push int\u00e9gr\u00e9e de GitLab peut bloquer les fichiers correspondant aux patterns de secrets courants.<\/li>\n<\/ul>\n
D\u00e9tection de Secrets avec GitLab SAST<\/h3>\nAjoutez le template int\u00e9gr\u00e9 de D\u00e9tection de Secrets de GitLab pour d\u00e9tecter les identifiants accidentellement committ\u00e9s :<\/p>\n include:\n - template: Security\/Secret-Detection.gitlab-ci.yml\n<\/code><\/pre>\n
|