Le développement logiciel moderne repose presque entièrement sur des pipelines automatisés CI/CD, mais si ces pipelines sont exploités par des attaquants, cela peut entraîner de graves conséquences telles que des fuites de code. Par coïncidence, j'ai trouvé cette liste de ressources de sécurité compilée avec soin par Awesome CI/CD Security, qui comprend diverses ressources relatives à la sécurité CI/CD. Il couvre les ouvrages théoriques, les cas pratiques, les guides officiels, les outils open source, et comprend également des articles spécifiques sur la sécurité des plateformes courantes telles que GitHub Actions, GitLab et Jenkins. GitHub : https://t.co/sCt8jSFlo3 Contenu principal : - Les ouvrages de référence et les guides de sécurité officiels nous aident à construire un système de connaissances systématique en matière de sécurité ; - Des blogs de sécurité dédiés aux principales plateformes CI/CD, couvrant les méthodes d'attaque courantes ; - Des tutoriels vidéo de sécurité soigneusement sélectionnés, illustrant de manière intuitive les pratiques d'attaque et de défense dans les environnements CI/CD ; - Un outil pratique d'analyse de sécurité capable de détecter les erreurs de configuration et les vulnérabilités dans le pipeline ; - L'environnement CI/CD Goat et d'autres environnements de formation pratique nous permettent de pratiquer dans un environnement sûr ; - Analyser des cas d'attaques réelles pour comprendre les incidents de sécurité qui se sont réellement produits. Convient aux ingénieurs DevOps, aux chercheurs en sécurité et aux développeurs soucieux de la sécurité des logiciels, qui peuvent s'en inspirer et s'y référer.
