Détecter les secrets dans les pipelines CI

Vue d'ensemble

Pour les vulnérabilités qui ne sont exploitables qu'au runtime comme les buffer overflows, les injections SQL ou le cross-site scripting, les tests de sécurité applicative dans les pipelines CI se traduisent souvent par des temps de correction considérablement plus courts. Dans le cas des credentials en clair, la situation est différente. Aucun gain n'est à attendre en termes de remédiation lorsqu'on compare les incidents qui apparaissent ici à ceux trouvés via l'intégration VCS (en effet, les incidents détectés lors des analyses CI sont également remontés dans le dashboard GitGuardian, puisque les branches distantes vivent dans le dépôt centralisé).

Vous devriez considérer les secrets qui entrent dans les dépôts distants centralisés comme compromis, peu importe comment ils s'y sont retrouvés. Le processus de remédiation doit être entièrement déclenché dans un tel cas ; vous devez révoquer et faire la rotation des credentials avant d'exécuter à nouveau les contrôles de sécurité.

Avantages

Automatiser les tests de sécurité dans les pipelines CI est une excellente stratégie pour sensibiliser rapidement à la fois les équipes de développeurs et de DevOps engineering au problème des secrets en clair.

Intégrer ggshield dans les workflows CI

1. Créer un compte de service pour l'API GitGuardian
2. Configurer les intégrations CI/CD avec ggshield
   1. Jenkins CI
   2. GitHub Actions
   3. GitLab CI/CD
   4. Azure pipelines
   5. Bitbucket pipelines
   6. Circle CI
   7. Drone CI
   8. Travis CI
   9. Scanner les images Docker après le job de build