Sécurité CI/CD.

Ensemble de contrôles qui protègent les pipelines d'intégration et de livraison continues contre la compromission, l'injection de code, la fuite de secrets et les déploiements non autorisés. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.

Ensemble de contrôles qui protègent les pipelines d'intégration et de livraison continues contre la compromission, l'injection de code, la fuite de secrets et les déploiements non autorisés.

Les systèmes CI/CD s'intercalent entre le code source et la production : leur compromission donne aux attaquants un contrôle quasi total sur ce qui s'exécute. La sécurité CI/CD couvre les identités (jetons OIDC à privilèges minimes, identités fédérées, pas de clés de déploiement à long terme), la configuration des pipelines (runners pinnés, étapes signées, jobs isolés), la gestion des secrets (coffres, identifiants éphémères, secret scanning, logs masqués), l'intégrité des sources (commits signés, protection des branches, revues obligatoires), les contrôles de chaîne logicielle (SBOM, SLSA, artefacts signés) et la protection runtime des contrôleurs eux-mêmes. Les incidents SolarWinds, Codecov et les recherches SCMKit ont fait du CI/CD une cible de premier plan. Les référentiels OWASP CI/CD Top 10 et les guides CISA sur la chaîne logicielle servent de base.

Les défenses contre Sécurité CI/CD combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Sécurité des pipelines.