Pipelines CI/CD, 7 mesures pour renforcer la protection et la sécurité

Il ne suffit pas d’intégrer les tests de sécurité à la fin des cycles de développement – aussi raccourcis soient-ils – pour passer au DevSecOPs. Voici quelques bonnes pratiques.

  1. Cartographie des menaces et sécurisation des connexions au pipeline CI/CD pour identifier les points de vulnérabilité. Il convient de vérifier régulièrement tous les devices qui se connectent et de bloquer ceux qui ne sont pas conformes à la politique de sécurité.
  2. Renforcement du contrôle des accès afin de savoir qui se connecte à quoi, quand, comment et ce en permanence. Il est nécessaire de monitorer les accès à tous les composants et autres ressources du pipeline; qu’ils soient basés sur les tâches, des rôles ou des temporalités. Vérifiez également régulièrement que les comptes machines, les anciens utilisateurs ou les services redondants sont bels et bien fermés sans plus aucune autorisation d’accès. Bien entendu, utilisez un système d’authentification forte et changez régulièrement les mots de passe.
  3. Séparation des tâches et application réelle les accréditations. On a tendance à être « large » sur les autorisations d’accès lorsqu’on est en environnement de développement afin de ne pas ralentir le process… C’est pourtant indispensable pour vérifier que ceux qui modifient le code dans les référentiels, créent des conteneurs et déploient le code dans les différents environnements sont bien habilités à le faire.
  4. Protection des informations sensibles telles que les données d’authentification, mots de passes, API Tokens, les clés de chiffrement, etc. Un Key Management Service dédié s’impose pour chiffrer, stocker et injecter les données au juste moment où l’application en a besoin pour être opérationnelle. Les données sensibles ne sont donc jamais exposées pendant la construction ou le déploiement de l’application, et elles n’apparaissent jamais dans le code source.
  5. Verrouillage de votre référentiel de code en mettant en place un système d’accès à double facteur d’authentification pour vérifier que seuls des développeurs accrédités peuvent interagir avec les différents référentiels. Git est notamment une cible de choix pour les hackers car il contient des codes sources qui ont une grande valeur en terme de propriété intellectuelle… Pensez à mettre en place une sauvegarde locale sécurisée
  6. Nettoyage et monitoring ! Par définition, un pipeline de livraison continue est un flux constant de composants et de process de Builds et de déploiements … mais cette cadence effrénée ne doit pas vous faire négliger les taches de maintenance et autres mesures de sécurité nécessaires. Surveillez constamment l’environnement CI/CD pendant qu’il s’exécute et mettez fin à toutes les ressources temporaires telles que les conteneurs et les VM une fois les tâches exécutées.

Pour en savoir plus : https://searchitoperations.techtarget.com/tip/7-best-practices-to-ensure-your-CI-CD-pipelines-security?utm_campaign=20210927_ERU+Transmission+for+09%2F27%2F2021+%28UserUniverse%3A+338885%29&utm_medium=EM&utm_source=ERU&src=8322572&asrc=EM_ERU_182275737&utm_content=eru-rd2-control

En savoir plus

L’IA générative au service de nos développeurs.

Découvrez comment l’IA générative est devenu un outil indispensable pour les développeurs Harington ! Gagnez en productivité et qualité avec GitHub Copilot, Google AI AutoML et plus. Explorez les avantages de l’automatisation et de l’innovation dans le développement logiciel

Lire

Architecture MACH, vers toujours plus d’agilité et de scalabilité.

L’architecture MACH, combinant Microservices, API-first, Cloud-native et Hybrid, offre une approche flexible et scalable pour les entreprises. Elle décompose les systèmes monolithiques en composants autonomes, facilite la gestion des données grâce à des API robustes, et intègre parfaitement les solutions cloud pour réduire les coûts et améliorer l’efficacité. Toutefois, elle présente des défis tels que…

Lire

Modernisation du SI et poids du Legacy ?

La modernisation du système d’information est essentielle pour les DSI qui visent à éliminer les contraintes des systèmes legacy et à renforcer l’innovation et la compétitivité. En se concentrant sur le décommissionnement, la migration vers le cloud, la réingénierie d’applications et l’encapsulation via des API, les entreprises abordent la dette technologique et simplifient leur infrastructure…

Lire