Le \u00ab shift left \u00bb est devenu l’un des principes les plus largement adopt\u00e9s en DevSecOps. L’id\u00e9e est simple et s\u00e9duisante : d\u00e9placer la s\u00e9curit\u00e9 plus t\u00f4t dans le cycle de d\u00e9veloppement logiciel pour d\u00e9tecter les probl\u00e8mes plus rapidement, r\u00e9duire les co\u00fbts et am\u00e9liorer les r\u00e9sultats globaux en mati\u00e8re de s\u00e9curit\u00e9.<\/p>\n
Au fil du temps, le \u00ab shift left \u00bb est pass\u00e9 d’un concept utile \u00e0 un dogme quasi incontest\u00e9. Les analyses de s\u00e9curit\u00e9, les tests et les v\u00e9rifications de politiques sont pouss\u00e9s le plus t\u00f4t possible \u2014 souvent dans l’IDE du d\u00e9veloppeur ou dans les premi\u00e8res \u00e9tapes du CI.<\/p>\n
Pourtant, malgr\u00e9 des ann\u00e9es de \u00ab shift left \u00bb, les attaques contre la cha\u00eene d’approvisionnement logicielle continuent de r\u00e9ussir. Les syst\u00e8mes de build sont compromis. Des d\u00e9pendances malveillantes sont livr\u00e9es. Des versions contenant des portes d\u00e9rob\u00e9es sont distribu\u00e9es via des pipelines de confiance.<\/p>\n
Le probl\u00e8me n’est pas que le \u00ab shift left \u00bb soit erron\u00e9. Le probl\u00e8me est que le shift left seul est insuffisant<\/strong>, et dans de nombreux cas, il \u00e9choue pr\u00e9cis\u00e9ment parce qu’il ignore la s\u00e9curit\u00e9 des pipelines CI\/CD eux-m\u00eames.<\/p>\n Cet article explique o\u00f9 le mod\u00e8le \u00ab shift left \u00bb atteint ses limites, pourquoi il ne traite pas la compromission des pipelines, et comment le DevSecOps doit \u00e9voluer pour inclure explicitement la s\u00e9curit\u00e9 des pipelines.<\/p>\n Le concept de \u00ab shift left \u00bb est n\u00e9 en r\u00e9ponse aux d\u00e9faillances de s\u00e9curit\u00e9 en fin de cycle.<\/p>\n Historiquement, les revues de s\u00e9curit\u00e9 avaient lieu \u00e0 la fin du cycle de d\u00e9veloppement : tests d’intrusion avant la mise en production, points de validation s\u00e9curit\u00e9, et rem\u00e9diation de derni\u00e8re minute des probl\u00e8mes critiques.<\/p>\n Cette approche cr\u00e9ait des probl\u00e8mes pr\u00e9visibles :<\/p>\n Le \u00ab shift left \u00bb visait \u00e0 r\u00e9soudre ce probl\u00e8me en introduisant la s\u00e9curit\u00e9 plus t\u00f4t :<\/p>\n En tant que principe, c’\u00e9tait une am\u00e9lioration \u00e9vidente. Un retour d’information pr\u00e9coce est presque toujours pr\u00e9f\u00e9rable \u00e0 un retour tardif.<\/p>\n Cependant, le mod\u00e8le reposait sur une hypoth\u00e8se qui n’est plus vraie :<\/p>\n Si le code est s\u00e9curis\u00e9 t\u00f4t, le logiciel livr\u00e9 sera s\u00e9curis\u00e9.<\/p>\n<\/blockquote>\n En pratique, le \u00ab shift left \u00bb se concentre sur un ensemble sp\u00e9cifique de risques :<\/p>\n Ces contr\u00f4les r\u00e9pondent \u00e0 des questions importantes :<\/p>\n Ce \u00e0 quoi ils ne r\u00e9pondent pas<\/em> est tout aussi important :<\/p>\n Peut-on faire confiance au syst\u00e8me qui construit et distribue ce logiciel ?<\/p>\n<\/blockquote>\n Les contr\u00f4les shift left se concentrent sur ce qui<\/em> est \u00e9crit. La s\u00e9curit\u00e9 des pipelines se concentre sur comment<\/em> le code est transform\u00e9, empaquet\u00e9 et distribu\u00e9.<\/p>\n Les pipelines CI\/CD se situent en aval de la plupart des activit\u00e9s shift left.<\/p>\n Au moment o\u00f9 un pipeline s’ex\u00e9cute, le code a d\u00e9j\u00e0 :<\/p>\n Pourtant, c’est pr\u00e9cis\u00e9ment l\u00e0 que de nombreuses compromissions r\u00e9elles se produisent.<\/p>\n La raison est structurelle : les contr\u00f4les shift left supposent que le pipeline lui-m\u00eame est digne de confiance.<\/p>\n Cette hypoth\u00e8se est souvent fausse.<\/p>\n Les pipelines CI\/CD ex\u00e9cutent r\u00e9guli\u00e8rement :<\/p>\n M\u00eame si le code source est \u00ab s\u00e9curis\u00e9 \u00bb, le pipeline est expos\u00e9 \u00e0 des comportements non fiables pendant l’ex\u00e9cution.<\/p>\n L’analyse shift left ne prot\u00e8ge pas contre les comportements malveillants introduits au moment du build ou de l’empaquetage.<\/p>\n Les pipelines ont souvent acc\u00e8s \u00e0 :<\/p>\n Si des attaquants compromettent le pipeline, ils n’ont pas besoin d’exploiter les syst\u00e8mes de production.<\/p>\n Ils peuvent simplement produire des artefacts \u00ab l\u00e9gitimes \u00bb auxquels les syst\u00e8mes en aval font implicitement confiance.<\/p>\n Les incidents majeurs de la cha\u00eene d’approvisionnement ne se sont pas produits parce que les \u00e9quipes n’avaient pas analys\u00e9 le code suffisamment t\u00f4t.<\/p>\n Ils se sont produits parce que des attaquants ont exploit\u00e9 des m\u00e9canismes de build et de livraison de confiance.<\/p>\n Lorsque des attaquants injectent un comportement malveillant dans :<\/p>\n les artefacts r\u00e9sultants peuvent passer tous les contr\u00f4les shift left.<\/p>\n Du point de vue du pipeline, tout semble normal.<\/p>\n Du point de vue de la production, l’artefact est l\u00e9gitime.<\/p>\n Les outils shift left se concentrent sur la d\u00e9tection de probl\u00e8mes connus.<\/p>\n Ils ne mod\u00e9lisent pas :<\/p>\n C’est pourquoi les attaquants ciblent les pipelines : ils exploitent les relations de confiance, pas les vuln\u00e9rabilit\u00e9s.<\/p>\n Si les contr\u00f4les shift left sont insuffisants, o\u00f9 les contr\u00f4les de s\u00e9curit\u00e9 des pipelines doivent-ils \u00eatre appliqu\u00e9s ?<\/p>\n La r\u00e9ponse n’est pas \u00ab encore plus t\u00f4t \u00bb.<\/p>\n La s\u00e9curit\u00e9 des pipelines n\u00e9cessite des contr\u00f4les \u00e0 des transitions de confiance sp\u00e9cifiques.<\/p>\n Tous les d\u00e9clencheurs de pipeline ne doivent pas \u00eatre trait\u00e9s de la m\u00eame mani\u00e8re.<\/p>\n Les contr\u00f4les doivent distinguer entre :<\/p>\n Les secrets, les actions privil\u00e9gi\u00e9es et les \u00e9tapes de d\u00e9ploiement doivent \u00eatre contr\u00f4l\u00e9s en cons\u00e9quence.<\/p>\n Les runners sont l’endroit o\u00f9 la confiance est la plus fragile.<\/p>\n Les contr\u00f4les efficaces incluent :<\/p>\n L’analyse shift left ne prot\u00e8ge pas contre la compromission des runners. L’isolement, si.<\/p>\n Le contr\u00f4le de pipeline le plus critique est souvent le dernier.<\/p>\n Avant le d\u00e9ploiement, les syst\u00e8mes doivent v\u00e9rifier :<\/p>\n Sans v\u00e9rification, la production fait implicitement confiance au pipeline.<\/p>\n Le DevSecOps a besoin d’un mod\u00e8le mental plus complet.<\/p>\n La s\u00e9curit\u00e9 doit \u00eatre :<\/p>\n La s\u00e9curit\u00e9 des pipelines traite le troisi\u00e8me point.<\/p>\n Elle introduit des garanties ex\u00e9cutoires que l’analyse seule ne peut pas fournir.<\/p>\n Au lieu du \u00ab shift left \u00bb, un meilleur cadre de r\u00e9flexion est :<\/p>\n S\u00e9curiser le cycle de vie de la confiance.<\/p>\n<\/blockquote>\n Cela signifie :<\/p>\n Les contr\u00f4les shift left restent pr\u00e9cieux, mais uniquement en tant que partie d’un syst\u00e8me plus large qui inclut la s\u00e9curit\u00e9 des pipelines.<\/p>\n Le \u00ab shift left \u00bb n’est pas erron\u00e9 \u2014 mais il est incomplet.<\/p>\n Il am\u00e9liore la qualit\u00e9 du code et d\u00e9tecte les d\u00e9fauts t\u00f4t, mais il ne prot\u00e8ge pas contre la compromission des pipelines ni contre les attaques de la cha\u00eene d’approvisionnement.<\/p>\n Les pipelines CI\/CD sont l’endroit o\u00f9 la confiance est transform\u00e9e, amplifi\u00e9e et finalement accord\u00e9e.<\/p>\n Ignorer la s\u00e9curit\u00e9 des pipelines revient \u00e0 faire confiance aux syst\u00e8mes m\u00eames que les attaquants ciblent de plus en plus.<\/p>\n Le DevSecOps doit \u00e9voluer au-del\u00e0 des slogans et se concentrer sur l’ing\u00e9nierie de la confiance de bout en bout.<\/p>\n Sans la s\u00e9curit\u00e9 des pipelines CI\/CD, le \u00ab shift left \u00bb n’est pas une strat\u00e9gie \u2014 c’est une hypoth\u00e8se.<\/p>\n
\nL’origine du \u00ab shift left \u00bb<\/h2>\n
\n
\n
\n
\nCe que le \u00ab shift left \u00bb s\u00e9curise r\u00e9ellement<\/h2>\n
\n
\n
\n
\nPourquoi le \u00ab shift left \u00bb ne couvre pas le pipeline<\/h2>\n
\n
\nLes pipelines ex\u00e9cutent des entr\u00e9es non fiables par conception<\/h3>\n
\n
\nLes pipelines fonctionnent avec des privil\u00e8ges \u00e9lev\u00e9s<\/h3>\n
\n
\nD\u00e9faillances r\u00e9elles de la mentalit\u00e9 \u00ab shift left \u00bb<\/h2>\n
\nLa compromission du pipeline contourne les contr\u00f4les au niveau du code<\/h3>\n
\n
\nLes contr\u00f4les shift left ne mod\u00e9lisent pas les fronti\u00e8res de confiance<\/h3>\n
\n
\nO\u00f9 les contr\u00f4les de s\u00e9curit\u00e9 des pipelines doivent r\u00e9ellement se situer<\/h2>\n
\nAvant l’ex\u00e9cution : contr\u00f4ler les entr\u00e9es non fiables<\/h3>\n
\n
\nPendant l’ex\u00e9cution : isoler les runners<\/h3>\n
\n
\nApr\u00e8s l’ex\u00e9cution : v\u00e9rifier les artefacts<\/h3>\n
\n
\nRepenser le DevSecOps au-del\u00e0 du \u00ab shift left \u00bb<\/h2>\n
\n
\nUn mod\u00e8le plus pr\u00e9cis : s\u00e9curiser le cycle de vie de la confiance<\/h2>\n
\n
\n
\nConclusion<\/h2>\n
\n