Le runner est la machine qui exécute tous vos jobs : son image est, elle aussi, un artefact de la chaîne. Une image de runner piégée ou mal maîtrisée compromet silencieusement chaque pipeline qui s'y exécute. Cette famille applique au runner les exigences qu'il fait respecter aux autres : image minimale et durcie, build tracé, signée et vérifiée avant usage.
Dans le détail, l'image de runner est minimale et durcie (chaque binaire en trop est une surface d'attaque), construite par un pipeline tracé, versionné et reproductible plutôt que montée à la main, puis signée et sa provenance vérifiée avant provisionnement. La nuance (cas CCleaner, 3CX) : on vérifie sa propre chaîne, pas n'importe quel cachet. Enfin le runner et ses agents sont déployés en IaC, donc auditables et reproductibles comme du code.
Concrètement, ces exigences parent : une image de runner piégée qui contamine silencieusement tous les jobs, un build d'image compromis en amont, un installeur signé mais trojanisé (cas CCleaner, 3CX) auquel on ferait aveuglément confiance, et la dérive d'un runner configuré à la main.
Une image de runner piégée compromet tous les jobs qui s'y exécutent.
Les pièges à éviter
Section intitulée « Les pièges à éviter »Les erreurs les plus fréquentes sur ce périmètre :
Exigences
Section intitulée « Exigences »image de base minimale et durcie, correctifs à jour, outillage réduit au nécessaire.#
L'image du runner est un artefact comme un autre : chaque binaire en trop est une surface d'attaque, une CVE potentielle, un outil détournable de plus. Une image minimale et durcie, correctifs à jour, réduit d'autant ce qu'un job hostile peut exploiter.
- Preuve attendue
- Rapport de durcissement (OpenSCAP/CIS) ; image minimale, correctifs à jour.
Correspondances & menaces parées 3 standards · 1 menace
L'image de base utilisée pour construire les conteneurs contient une charge malveillante ou une vulnérabilité, héritée par tous les artefacts qui en dérivent. Le socle d'exécution contamine toute la production CNCF SLSA.
image construite via un pipeline tracé, versionnée et reproductible.#
Une image montée à la main, au contenu inconnu, est une boîte noire de confiance implicite. La construire par un pipeline tracé, versionné et reproductible lui applique les mêmes règles de provenance qu'aux artefacts : on reconstruit à l'identique et on détecte toute divergence.
- Preuve attendue
- Pipeline de build de l'image (tracé, versionné) + attestation de reproductibilité.
- Outillage
- zizmor poutine
Correspondances & menaces parées 4 standards · 2 menaces
La plateforme d'orchestration CI/CD elle-même (serveur, contrôleur, base de secrets) est compromise, donnant le contrôle de tous les pipelines, secrets et déploiements. C'est le vecteur de plus haut impact : il rend caducs les contrôles en aval CNCF Publishing CICD-SEC-7. L'image de base utilisée pour construire les conteneurs contient une charge malveillante ou une vulnérabilité, héritée par tous les artefacts qui en dérivent. Le socle d'exécution contamine toute la production CNCF SLSA.
image signée et provenance vérifiée avant provisionnement.#
Sans vérification, une image de runner substituée ou altérée compromet tous les jobs qui s'y exécutent. Signer l'image et vérifier sa provenance avant provisionnement ferme cette porte. Nuance (cas CCleaner, 3CX) : on vérifie sa propre chaîne, pas n'importe quel cachet.
- Preuve attendue
- Signature de l'image + vérification de provenance avant provisionnement.
- Outillage
- cosign slsa-verifier
Correspondances & menaces parées 4 standards · 2 menaces
L'image de base utilisée pour construire les conteneurs contient une charge malveillante ou une vulnérabilité, héritée par tous les artefacts qui en dérivent. Le socle d'exécution contamine toute la production CNCF SLSA. Un installeur officiel et signé est modifié à la source ou au build pour embarquer une charge, distribué via le canal légitime (cas CCleaner, 3CX). La signature valide endort la méfiance CNCF Trust & Signing.
runner et agents de sécurité déployés en IaC, configuration auditée.#
Un runner provisionné à la main dérive et devient invérifiable : personne ne sait ce qui tourne. Déployé en IaC, sa configuration est versionnée, revue et reproductible, et tout écart est visible : la sécurité du runner devient auditable comme du code.
- Preuve attendue
- Code IaC du runner + résultat d'audit de configuration.
- Outillage
- zizmor poutine
Correspondances & menaces parées 4 standards · 1 menace
La plateforme d'orchestration CI/CD elle-même (serveur, contrôleur, base de secrets) est compromise, donnant le contrôle de tous les pipelines, secrets et déploiements. C'est le vecteur de plus haut impact : il rend caducs les contrôles en aval CNCF Publishing CICD-SEC-7.