NoLimitSecu Sécurisation de la chaîne d’approvisionnement logicielle
Apr 6, 2025
Christophe Tafani-Dereeper, expert en sécurité chez Datadog, partage son expérience sur la sécurisation de la chaîne d'approvisionnement logicielle. Il aborde les risques posés par les dépendances et les scripts de construction, ainsi que des attaques récentes sur des outils comme GitHub Actions. L'importance des artefacts signés est également soulignée. Il compare les outils SEMGREP et CodeQL, et discute des défis liés à l'IA dans le développement. Enfin, des solutions innovantes pour renforcer la sécurité des paquets NPM sont proposées.
AI Snips
Chapters
Transcript
Episode notes
Comprendre la chaîne d'approvisionnement logicielle
- Visualisez la chaîne d'approvisionnement logicielle comme un chemin du code source à l'utilisateur.
- Chaque étape (code, versioning, build, distribution) est une cible potentielle d'attaque.
Exemples d'attaques de la chaîne d'approvisionnement logicielle
- En 2003, une tentative d'ajout d'un patch malveillant dans le noyau Linux a été détectée.
- Plus récemment, des attaques ont ciblé SolarWinds, CodeCov et des actions GitHub.
Utiliser des commits spécifiques pour les actions GitHub
- Privilégiez l'utilisation d'actions GitHub à un commit spécifique plutôt que des tags.
- Les tags peuvent être modifiés par des attaquants pour pointer vers du code malveillant.