Blog de Stéphane ROBERT

À propos de ce blog : Ici, je partage des idées personnelles, des actualités marquantes de l'écosystème DevOps/Cloud, des billets d'humeur ou des réflexions rapides.

Billets à la une

Dependabot et Renovate : 6 failles quand ils sont mal configurés

Dependabot et Renovate automatisent vos mises à jour, mais mal configurés ils deviennent des vecteurs d'attaque. En 2025, des chercheurs de BoostSecurity ont démontré comment un simple @dependabot recreate permet de contourner les protections d'auto-merge. Compass Security a révélé que l'autodiscovery Renovate sans filtre offre une RCE à tout attaquant invitant le bot dans un dépôt piégé. Et sans cooldown, un paquet npm compromis est mergé avant que quiconque ne détecte le problème. Cet article détaille 6 risques concrets, validés en lab avec poutine et zizmor, et fournit les configurations durcies.

3 mars 2026

#dependabot#renovate#securite

Lire l'article

01 / 04

GitHub Actions : 15 pièges de sécurité qui exposent vos pipelines

En 2025, des attaques comme Shai Hulud v2, GhostAction et tj-actions/changed-files ont compromis des dizaines de milliers de dépôts via GitHub Actions. La cause ? Toujours les mêmes erreurs : tags mutables, permissions trop larges, injection de commandes, pull_request_target mal utilisé. Cet article passe en revue 15 pièges exploités, l'écosystème d'outillage encore immature et vous donne les remèdes pour blinder vos pipelines.

2 mars 2026

#github-actions#securite#supply-chain

Lire l'article

02 / 04

Trivy vidé après une attaque supply chain par un bot IA

Ce dimanche, en voulant installer Trivy via mise, je tombe sur une erreur 404. Le dépôt GitHub aquasecurity/trivy est vide. Ce que je pensais être un bug s'avère être une attaque supply chain : un bot IA autonome a compromis un PAT, supprimé toutes les releases, renommé le dépôt et publié une extension VS Code malveillante. Chronologie complète et leçons.

1 mars 2026

#trivy#securite#open-source

Lire l'article

03 / 04

J'ai migré d'asdf vers mise : retour d'expérience

Après plusieurs années avec asdf, j'ai décidé de migrer vers mise (anciennement rtx). Dans cet article, je partage mon retour d'expérience : les raisons de ce changement, la procédure de migration transparente grâce à la compatibilité .tool-versions, et les bénéfices concrets obtenus — performances 10x supérieures, backend aqua avec vérification cryptographique, et fonctionnalités absentes d'asdf comme les tasks et la gestion d'environnements.

26 janvier 2026

Lire l'article

04 / 04

Tous les billets

3 mars 2026 / Stéphane Robert

Dependabot et Renovate : 6 failles quand ils sont mal configurés

Dependabot et Renovate automatisent vos mises à jour, mais mal configurés ils deviennent des vecteurs d'attaque. En 2025, des chercheurs de BoostSecurity ont démontré comment un simple @dependabot recreate permet de contourner les protections d'auto-merge. Compass Security a révélé que l'autodiscovery Renovate sans filtre offre une RCE à tout attaquant invitant le bot dans un dépôt piégé. Et sans cooldown, un paquet npm compromis est mergé avant que quiconque ne détecte le problème. Cet article détaille 6 risques concrets, validés en lab avec poutine et zizmor, et fournit les configurations durcies.

#dependabot#renovate#securite

Lire l'article

2 mars 2026 / Stéphane Robert

GitHub Actions : 15 pièges de sécurité qui exposent vos pipelines

En 2025, des attaques comme Shai Hulud v2, GhostAction et tj-actions/changed-files ont compromis des dizaines de milliers de dépôts via GitHub Actions. La cause ? Toujours les mêmes erreurs : tags mutables, permissions trop larges, injection de commandes, pull_request_target mal utilisé. Cet article passe en revue 15 pièges exploités, l'écosystème d'outillage encore immature et vous donne les remèdes pour blinder vos pipelines.

#github-actions#securite#supply-chain

Lire l'article

1 mars 2026 / Stéphane Robert

Trivy vidé après une attaque supply chain par un bot IA

Ce dimanche, en voulant installer Trivy via mise, je tombe sur une erreur 404. Le dépôt GitHub aquasecurity/trivy est vide. Ce que je pensais être un bug s'avère être une attaque supply chain : un bot IA autonome a compromis un PAT, supprimé toutes les releases, renommé le dépôt et publié une extension VS Code malveillante. Chronologie complète et leçons.

#trivy#securite#open-source

Lire l'article

26 janvier 2026 / Stéphane Robert

J'ai migré d'asdf vers mise : retour d'expérience

Après plusieurs années avec asdf, j'ai décidé de migrer vers mise (anciennement rtx). Dans cet article, je partage mon retour d'expérience : les raisons de ce changement, la procédure de migration transparente grâce à la compatibilité .tool-versions, et les bénéfices concrets obtenus — performances 10x supérieures, backend aqua avec vérification cryptographique, et fonctionnalités absentes d'asdf comme les tasks et la gestion d'environnements.

Lire l'article

23 janvier 2026 / Stéphane Robert

Veille sécurité CI/CD : post-quantum, signatures et correctifs critiques (janvier 2026)

La sécurité de la supply chain est devenue mon fil rouge depuis plusieurs mois. Ce billet passe en revue les mises à jour importantes de janvier 2026 : age v1.3.0 introduit le chiffrement post-quantum, cosign v3.0.4 corrige une vulnérabilité dans la vérification offline, Buildah patche des CVE dans ses dépendances runtime. Voici ce que ça change pour vos pipelines et comment agir dès lundi matin.

Lire l'article

18 janvier 2026 / Stéphane Robert

v3.11 : navigation améliorée et examens plus pédagogiques

V3.1 a refondu la navigation, amélioré les roadmaps et optimisé les examens sur mobile. V3.11 transforme les examens en outil d'apprentissage : explications enrichies et liens directs vers la doc après soumission.

Lire l'article

12 janvier 2026 / Stéphane Robert

Zéro lien cassé : automatiser la détection avec Lychee

Comment éliminer définitivement les liens cassés de votre documentation grâce à Lychee, un outil rapide qui scanne 10 000 liens en 30 secondes.

Lire l'article

11 janvier 2026 / Stéphane Robert

La V3 du site est en ligne : Retour sur 6 ans d'évolution

Le site passe en V3 : nouveau design, glossaire interactif, quiz intégrés, et une base technique entièrement recodée. Retour sur le chemin parcouru.

Lire l'article

19 décembre 2025 / Stéphane Robert

Docker Hardened Images : la guerre des images durcies gratuites est lancée

Docker vient de rendre ses Docker Hardened Images (DHI) gratuites et open source sous licence Apache 2.0. Je compare en profondeur avec Chainguard : tailles réelles (mesurées avec ORAS), CVE, SBOM, provenance SLSA L3, et cas d'usage.

Lire l'article

16 décembre 2025 / Stéphane Robert

DevSecOps 2026 : monter d'un cran nos exigences

Les attaques se multiplient. SolarWinds, Log4Shell, XZ Utils... chaque année apporte son lot de compromissions massives. En tant qu'acteurs de l'automatisation, nous ne pouvons plus considérer la sécurité comme un sujet « à part ». J'ai décidé d'injecter des rappels de sécurité dans l'ensemble de ma documentation et de développer massivement la section Sécuriser. Tour d'horizon des axes de travail.

Lire l'article

7 décembre 2025 / Stéphane Robert

Des images 10× plus petites, 0 CVE : Chainguard change la donne

Les images standards embarquent des paquets inutiles et des CVE. Avec les images Chainguard, bénéficiez d’images minimalistes avec SBOM, provenance et patchs rapides. Comparatif, cas d’usage et guide de migration.

Lire l'article

7 décembre 2025 / Stéphane Robert

Traefik 3.6 : Ajout du support Knative, Gateway API

Traefik Proxy 3.6 unifie le routage entre serveurs, conteneurs et serverless avec multi-layer routing, support Knative et Gateway API 1.4. Plus de modularité, gouvernance et élasticité (scale-to-zero). Un reverse proxy plus lisible et standardisé pour plateformes hybrides et multi-tenant.

Lire l'article

Précédent

1 2 3 4 … 19

Suivant

×

📖 Voir la documentation →