Sécurité GitHub Actions : Meilleures pratiques après deux incidents majeurs
Des attaques récentes sur GitHub Actions, notamment une attaque de la chaîne d'approvisionnement et une compromission de tj-actions, mettent en évidence des risques de sécurité importants. Ce guide propose des conseils pratiques pour sécuriser vos workflows GitHub Actions. Il couvre la terminologie essentielle, les meilleures pratiques pour configurer les paramètres au niveau de l'organisation et la protection des branches au niveau du référentiel, la gestion des secrets et la rédaction sécurisée des workflows. Des vulnérabilités clés telles que l'exécution de pipeline empoisonné (PPE) sont abordées, ainsi que des recommandations pour minimiser l'utilisation d'actions tierces, contrôler les autorisations et utiliser des outils d'analyse statique et d'application de politiques.