Sécurisez vos pipelines : Deep dive dans la sécurité de GitHub Actions

L’automatisation est devenue un pilier incontournable du développement logiciel moderne, et GitHub Actions s’impose comme une solution phare pour les workflows CI/CD. Mais avec un grand pouvoir viennent de grandes responsabilités. Les mauvaises configurations, les permissions excessives et les secrets mal protégés peuvent rendre vos pipelines vulnérables aux attaques.

Ce talk vous permettra d’obtenir une vision théorique et pratique de la sécurité dans GitHub Actions. Les participants apprendront à identifier les pièges courants, à appliquer le principe du moindre privilège et à protéger efficacement leurs secrets. À l’issue de cette conférence, vous repartirez avec des conseils concrets et des outils pour renforcer vos workflows GitHub Actions contre les menaces émergentes.

Public cible :

Cette présentation s’adresse aux ingénieurs DevOps, aux professionnels de la sécurité et aux développeurs utilisant GitHub Actions, et qui souhaitent comprendre comment sécuriser efficacement leurs pipelines CI/CD.

Principaux enseignements :

• Comprendre les risques de sécurité courants dans GitHub Actions, tels que les mauvaises configurations, les vulnérabilités des dépendances et les fuites de secrets.
• Découvrir les bonnes pratiques pour utiliser les permissions minimales, limiter les jetons des workflows et sécuriser les dépendances.
• Explorer des outils avancés et des stratégies pour auditer et surveiller GitHub Actions à la recherche d’activités suspectes.
• S’inspirer de vulnérabilités réelles et apprendre à les éviter dans vos propres workflows.