Il ne suffit pas d’intégrer les tests de sécurité à la fin des cycles de développement – aussi raccourcis soient-ils – pour passer au DevSecOPs. Voici quelques bonnes pratiques.

1. Cartographie des menaces et sécurisation des connexions au pipeline CI/CD pour identifier les points de vulnérabilité. Il convient de vérifier régulièrement tous les devices qui se connectent et de bloquer ceux qui ne sont pas conformes à la politique de sécurité.
2. Renforcement du contrôle des accès afin de savoir qui se connecte à quoi, quand, comment et ce en permanence. Il est nécessaire de monitorer les accès à tous les composants et autres ressources du pipeline; qu’ils soient basés sur les tâches, des rôles ou des temporalités. Vérifiez également régulièrement que les comptes machines, les anciens utilisateurs ou les services redondants sont bels et bien fermés sans plus aucune autorisation d’accès. Bien entendu, utilisez un système d’authentification forte et changez régulièrement les mots de passe.
3. Séparation des tâches et application réelle les accréditations. On a tendance à être « large » sur les autorisations d’accès lorsqu’on est en environnement de développement afin de ne pas ralentir le process… C’est pourtant indispensable pour vérifier que ceux qui modifient le code dans les référentiels, créent des conteneurs et déploient le code dans les différents environnements sont bien habilités à le faire.
4. Protection des informations sensibles telles que les données d’authentification, mots de passes, API Tokens, les clés de chiffrement, etc. Un Key Management Service dédié s’impose pour chiffrer, stocker et injecter les données au juste moment où l’application en a besoin pour être opérationnelle. Les données sensibles ne sont donc jamais exposées pendant la construction ou le déploiement de l’application, et elles n’apparaissent jamais dans le code source.
5. Verrouillage de votre référentiel de code en mettant en place un système d’accès à double facteur d’authentification pour vérifier que seuls des développeurs accrédités peuvent interagir avec les différents référentiels. Git est notamment une cible de choix pour les hackers car il contient des codes sources qui ont une grande valeur en terme de propriété intellectuelle… Pensez à mettre en place une sauvegarde locale sécurisée
6. Nettoyage et monitoring ! Par définition, un pipeline de livraison continue est un flux constant de composants et de process de Builds et de déploiements … mais cette cadence effrénée ne doit pas vous faire négliger les taches de maintenance et autres mesures de sécurité nécessaires. Surveillez constamment l’environnement CI/CD pendant qu’il s’exécute et mettez fin à toutes les ressources temporaires telles que les conteneurs et les VM une fois les tâches exécutées.

Pour en savoir plus : https://searchitoperations.techtarget.com/tip/7-best-practices-to-ensure-your-CI-CD-pipelines-security?utm_campaign=20210927_ERU+Transmission+for+09%2F27%2F2021+%28UserUniverse%3A+338885%29&utm_medium=EM&utm_source=ERU&src=8322572&asrc=EM_ERU_182275737&utm_content=eru-rd2-control