Blog de Stéphane ROBERT

À propos de ce blog : Ici, je partage des idées personnelles, des actualités marquantes de l'écosystème DevOps/Cloud, des billets d'humeur ou des réflexions rapides.

Billets à la une

Trivy compromis : Chainguard offre 12 mois gratuits et une leçon supply chain

Suite à l'incident Trivy de mars 2026, Chainguard propose 12 mois d'images Trivy gratuites. Au-delà de l'offre commerciale, l'incident illustre une leçon essentielle : une chaîne de build indépendante réduit l'impact d'une release compromise, et ce que cela change pour vos pipelines DevSecOps.

30 mars 2026

#trivy#supply-chain#devsecops

Lire l'article

01 / 04

KICS et LiteLLM compromis : deux nouvelles attaques supply chain qui confirment un changement d’échelle

Après Trivy, de nouvelles compromissions touchent la GitHub Action KICS et les paquets PyPI de LiteLLM. Analyse des vecteurs, du malware, des impacts et des mesures à prendre.

24 mars 2026

#supply-chain#github-actions#pypi

Lire l'article

02 / 04

Trivy compromis une seconde fois : la release v0.69.4 était empoisonnée

Trois semaines après l’attaque initiale, Trivy a subi un second incident : release v0.69.4 compromise, propagation via Homebrew, registres de conteneurs et GitHub Actions.

20 mars 2026

#trivy#github-actions#supply-chain

Lire l'article

03 / 04

Dependabot et Renovate : 6 failles quand ils sont mal configurés

Dependabot et Renovate automatisent vos mises à jour, mais mal configurés ils deviennent des vecteurs d'attaque. En 2025, des chercheurs de BoostSecurity ont démontré comment un simple @dependabot recreate permet de contourner les protections d'auto-merge. Compass Security a révélé que l'autodiscovery Renovate sans filtre offre une RCE à tout attaquant invitant le bot dans un dépôt piégé. Et sans cooldown, un paquet npm compromis est mergé avant que quiconque ne détecte le problème. Cet article détaille 6 risques concrets, validés en lab avec poutine et zizmor, et fournit les configurations durcies.

3 mars 2026

#dependabot#renovate#securite

Lire l'article

04 / 04

Tous les billets

30 mars 2026 / Stéphane Robert

Trivy compromis : Chainguard offre 12 mois gratuits et une leçon supply chain

Suite à l'incident Trivy de mars 2026, Chainguard propose 12 mois d'images Trivy gratuites. Au-delà de l'offre commerciale, l'incident illustre une leçon essentielle : une chaîne de build indépendante réduit l'impact d'une release compromise, et ce que cela change pour vos pipelines DevSecOps.

#trivy#supply-chain#devsecops

Lire l'article

24 mars 2026 / Stéphane Robert

KICS et LiteLLM compromis : deux nouvelles attaques supply chain qui confirment un changement d’échelle

Après Trivy, de nouvelles compromissions touchent la GitHub Action KICS et les paquets PyPI de LiteLLM. Analyse des vecteurs, du malware, des impacts et des mesures à prendre.

#supply-chain#github-actions#pypi

Lire l'article

20 mars 2026 / Stéphane Robert

Trivy compromis une seconde fois : la release v0.69.4 était empoisonnée

Trois semaines après l’attaque initiale, Trivy a subi un second incident : release v0.69.4 compromise, propagation via Homebrew, registres de conteneurs et GitHub Actions.

#trivy#github-actions#supply-chain

Lire l'article

3 mars 2026 / Stéphane Robert

Dependabot et Renovate : 6 failles quand ils sont mal configurés

Dependabot et Renovate automatisent vos mises à jour, mais mal configurés ils deviennent des vecteurs d'attaque. En 2025, des chercheurs de BoostSecurity ont démontré comment un simple @dependabot recreate permet de contourner les protections d'auto-merge. Compass Security a révélé que l'autodiscovery Renovate sans filtre offre une RCE à tout attaquant invitant le bot dans un dépôt piégé. Et sans cooldown, un paquet npm compromis est mergé avant que quiconque ne détecte le problème. Cet article détaille 6 risques concrets, validés en lab avec poutine et zizmor, et fournit les configurations durcies.

#dependabot#renovate#securite

Lire l'article

2 mars 2026 / Stéphane Robert

GitHub Actions : 15 pièges de sécurité qui exposent vos pipelines

En 2025, des attaques comme Shai Hulud v2, GhostAction et tj-actions/changed-files ont compromis des dizaines de milliers de dépôts via GitHub Actions. La cause ? Toujours les mêmes erreurs : tags mutables, permissions trop larges, injection de commandes, pull_request_target mal utilisé. Cet article passe en revue 15 pièges exploités, l'écosystème d'outillage encore immature et vous donne les remèdes pour blinder vos pipelines.

#github-actions#securite#supply-chain

Lire l'article

1 mars 2026 / Stéphane Robert

Trivy vidé après une attaque supply chain par un bot IA

Ce dimanche, en voulant installer Trivy via mise, je tombe sur une erreur 404. Le dépôt GitHub aquasecurity/trivy est vide. Ce que je pensais être un bug s'avère être une attaque supply chain : un bot IA autonome a compromis un PAT, supprimé toutes les releases, renommé le dépôt et publié une extension VS Code malveillante. Chronologie complète et leçons.

#trivy#securite#open-source

Lire l'article

26 janvier 2026 / Stéphane Robert

J'ai migré d'asdf vers mise : retour d'expérience

Après plusieurs années avec asdf, j'ai décidé de migrer vers mise (anciennement rtx). Dans cet article, je partage mon retour d'expérience : les raisons de ce changement, la procédure de migration transparente grâce à la compatibilité .tool-versions, et les bénéfices concrets obtenus — performances 10x supérieures, backend aqua avec vérification cryptographique, et fonctionnalités absentes d'asdf comme les tasks et la gestion d'environnements.

Lire l'article

23 janvier 2026 / Stéphane Robert

Veille sécurité CI/CD : post-quantum, signatures et correctifs critiques (janvier 2026)

La sécurité de la supply chain est devenue mon fil rouge depuis plusieurs mois. Ce billet passe en revue les mises à jour importantes de janvier 2026 : age v1.3.0 introduit le chiffrement post-quantum, cosign v3.0.4 corrige une vulnérabilité dans la vérification offline, Buildah patche des CVE dans ses dépendances runtime. Voici ce que ça change pour vos pipelines et comment agir dès lundi matin.

Lire l'article

18 janvier 2026 / Stéphane Robert

v3.11 : navigation améliorée et examens plus pédagogiques

V3.1 a refondu la navigation, amélioré les roadmaps et optimisé les examens sur mobile. V3.11 transforme les examens en outil d'apprentissage : explications enrichies et liens directs vers la doc après soumission.

Lire l'article

12 janvier 2026 / Stéphane Robert

Zéro lien cassé : automatiser la détection avec Lychee

Comment éliminer définitivement les liens cassés de votre documentation grâce à Lychee, un outil rapide qui scanne 10 000 liens en 30 secondes.

Lire l'article

11 janvier 2026 / Stéphane Robert

La V3 du site est en ligne : Retour sur 6 ans d'évolution

Le site passe en V3 : nouveau design, glossaire interactif, quiz intégrés, et une base technique entièrement recodée. Retour sur le chemin parcouru.

Lire l'article

19 décembre 2025 / Stéphane Robert

Docker Hardened Images : la guerre des images durcies gratuites est lancée

Docker vient de rendre ses Docker Hardened Images (DHI) gratuites et open source sous licence Apache 2.0. Je compare en profondeur avec Chainguard : tailles réelles (mesurées avec ORAS), CVE, SBOM, provenance SLSA L3, et cas d'usage.

Lire l'article

Précédent

1 2 3 4 … 19

Suivant

×

📖 Voir la documentation →