Aller au contenu
DevSecOps
Sécurité medium

Producteur & gouvernance : vecteurs d'attaque (SOCLE)

Photo de Stéphane Robert
Stéphane Robert DevOps Engineer
2 min de lecture

L'étape Producteur & gouvernance de la chaîne logicielle regroupe 3 vecteurs d'attaque, ancrés dans SLSA (A) · CNCF Malicious Maintainer. Chaque vecteur décrit ce que vise l'attaquant et renvoie aux exigences SOCLE qui le neutralisent.

Producteur / mainteneur malveillant
Protestware / sabotage
Menace interne (insider)

Techniques principales observées à cette étape : ce sont des approches alternatives, pas une séquence.

Vecteurs d'attaque

Les pastilles renvoient aux exigences SOCLE qui neutralisent chaque vecteur.

V-GOV-1Producteur / mainteneur malveillant
Une personne disposant légitimement du droit de publier (mainteneur, éditeur) introduit volontairement une modification nuisible dans le code ou l'artefact. L'attaque vient de l'intérieur de la chaîne de confiance : ni la revue ni la signature ne la détectent, puisque l'auteur est autorisé. Cas typiques : rachat de paquet, compte de mainteneur revendu, contributeur de longue date devenu hostile.
Ancré dansSLSA (A), CNCF Malicious Maintainer
Exigences qui le neutralisent SOCLE-GOV-GEN-1SOCLE-FRN-GEN-1SOCLE-FRN-GEN-2SOCLE-SRC-GEN-1SOCLE-SRC-BRA-2SOCLE-SRC-BRA-4SOCLE-GOV-POL-4SOCLE-GOV-GEN-3SOCLE-GOV-REG-1SOCLE-GOV-REG-2SOCLE-GOV-REG-3SOCLE-GOV-GEN-4SOCLE-GOV-GEN-5SOCLE-GOV-GEN-6SOCLE-GOV-RSK-1SOCLE-GOV-RSK-2SOCLE-GOV-RSK-3SOCLE-FRN-CTR-1SOCLE-FRN-CTR-2SOCLE-FRN-CTR-4SOCLE-FRN-DEV-1
V-GOV-2Protestware / sabotage
Le mainteneur saborde délibérément son propre composant pour des raisons idéologiques ou politiques (protestware) : code destructeur, messages, ou comportements ciblant certains utilisateurs. La confiance accordée au paquet se retourne contre ses consommateurs lors d'une simple mise à jour (cas node-ipc).
Ancré dansCNCF Malicious Maintainer, SoK
Exigences qui le neutralisent SOCLE-FRN-GEN-1SOCLE-INT-GEN-5SOCLE-INT-OSS-1SOCLE-GOV-INV-2SOCLE-GOV-GEN-4SOCLE-GOV-RSK-1SOCLE-INT-VER-3SOCLE-PKG-SCN-3
V-GOV-3Menace interne (insider)
Un collaborateur autorisé (développeur, ops, admin) abuse de ses accès pour introduire un changement non autorisé dans le code, la configuration ou la chaîne de build. Disposant déjà des droits, il contourne les contrôles d'entrée ; seules la séparation des privilèges, la revue à deux et la traçabilité limitent l'impact.
Ancré dansSLSA (A), SLSA (B)
Exigences qui le neutralisent SOCLE-SRC-GEN-1SOCLE-SRC-BRA-4SOCLE-SRC-ACC-1SOCLE-GOV-GEN-2SOCLE-GOV-INV-1SOCLE-GOV-INV-3SOCLE-GOV-POL-1SOCLE-GOV-POL-2SOCLE-GOV-GEN-4SOCLE-GOV-RSK-1SOCLE-SRC-ACC-3

Prochaines étapes

Section intitulée « Prochaines étapes »
Étape suivante : Poste de dev & outillageVecteurs suivants de la chaîne Panorama des vecteursLes 16 étapes de la chaîne

Ce site vous est utile ?

Sachez que moins de 1% des lecteurs soutiennent ce site.

Je maintiens +700 guides gratuits, sans pub ni tracing. Aujourd'hui, ce site ne couvre même pas mes frais d'hébergement, d'électricité, de matériel, de logiciels, mais surtout de cafés.

Un soutien régulier, même symbolique, m'aide à garder ces ressources gratuites et à continuer de produire des guides de qualité. Merci pour votre appui.

Abonnez-vous et suivez mon actualité DevSecOps sur LinkedIn