Des secrets volés, une récupération de votre code, une RCE (Remote Code Execution)… Voici quelques exemples de ce qui peut arriver si votre CI n’est pas correctement configurée et sécurisée. Et pourtant, la CI / CD est souvent hors scope des tests d’intrusion et personne ne prend la responsabilité de la sécuriser.
Les CI / CD nous ont apporté beaucoup de sécurité et d’améliorations de qualité dans nos pratiques de code au quotidien, en apportant des standards de code et en faisant tourner des outils pour automatiser nos pratiques de sécurité. Elles font cependant partie de la surface d’attaque de nos applications et doivent être analysée, mises à jour et sécurisées au même titre que le code. Certaines configurations par défaut sont même dangereuses !
Dans ce talk, vous verrez comment faire des injections dans les CI / CD, récupérer des secrets ou exécuter des scripts et quels sont les bons moyens pour les sécuriser.