Billets à la une
Tous les billets
GitHub Actions 2026 : ce que change la nouvelle roadmap sécurité
GitHub a publié sa roadmap sécurité 2026 pour Actions. Dependency locking, policies, secrets scopés, Actions Data Stream et egress firewall répondent à une réalité devenue visible avec Trivy, Checkmarx/KICS et Bitwarden CLI : la CI/CD est désormais une surface d'attaque critique.
Lire l'article Checkmarx/KICS compromis : quand les scanners de sécurité deviennent la surface d'attaque
Après Trivy, l'incident Checkmarx/KICS confirme que les scanners de sécurité exécutés dans les pipelines CI/CD doivent être traités comme des dépendances critiques à confiner.
Lire l'article Argo CD + Kyverno : le policy-as-code GitOps qui manquait à votre cluster
Déployer Kyverno via Argo CD pour appliquer des politiques de sécurité Kubernetes en mode GitOps. Pattern App-of-Apps, policies d'admission, audit vs enforce et impact supply chain.
Lire l'article Pourquoi les certifications Linux, Kubernetes et Terraform vont reprendre de la valeur à l'ère de l'IA
L'IA banalise la production apparente : un manifest Kubernetes, un module Terraform ou une commande Linux se génèrent en quelques secondes. Mais cette facilité affaiblit la valeur du livrable brut. Les certifications pratiques — RHCSA, LFCS, CKA, CKS, Terraform Associate — redeviennent un signal fort, parce qu'elles valident ce que l'IA ne peut pas prouver à votre place.
Lire l'article L'affaire Trivy — Acte IV : Aqua a parlé, voici ce que ça change
Aqua Security a publié une analyse technique détaillée de l'attaque supply chain sur Trivy. Tag poisoning forensique, payload trois étages, persistance ICP blockchain : décryptage complet et leçons pour vos pipelines.
Lire l'article Trivy compromis : Chainguard offre 12 mois gratuits et une leçon supply chain
Suite à l'incident Trivy de mars 2026, Chainguard propose 12 mois d'images Trivy gratuites. Au-delà de l'offre commerciale, l'incident illustre une leçon essentielle : une chaîne de build indépendante réduit l'impact d'une release compromise, et ce que cela change pour vos pipelines DevSecOps.
Lire l'article KICS et LiteLLM compromis : deux nouvelles attaques supply chain qui confirment un changement d’échelle
Après Trivy, de nouvelles compromissions touchent la GitHub Action KICS et les paquets PyPI de LiteLLM. Analyse des vecteurs, du malware, des impacts et des mesures à prendre.
Lire l'article Trivy compromis une seconde fois : la release v0.69.4 était empoisonnée
Trois semaines après l’attaque initiale, Trivy a subi un second incident : release v0.69.4 compromise, propagation via Homebrew, registres de conteneurs et GitHub Actions.
Lire l'article GitHub Actions : 15 pièges de sécurité qui exposent vos pipelines
En 2025, des attaques comme Shai Hulud v2, GhostAction et tj-actions/changed-files ont compromis des dizaines de milliers de dépôts via GitHub Actions. La cause ? Toujours les mêmes erreurs : tags mutables, permissions trop larges, injection de commandes, pull_request_target mal utilisé. Cet article passe en revue 15 pièges exploités, l'écosystème d'outillage encore immature et vous donne les remèdes pour blinder vos pipelines.
Lire l'article Trivy vidé après une attaque supply chain par un bot IA
Ce dimanche, en voulant installer Trivy via mise, je tombe sur une erreur 404. Le dépôt GitHub aquasecurity/trivy est vide. Ce que je pensais être un bug s'avère être une attaque supply chain : un bot IA autonome a compromis un PAT, supprimé toutes les releases, renommé le dépôt et publié une extension VS Code malveillante. Chronologie complète et leçons.
Lire l'article
Veille sécurité CI/CD : post-quantum, signatures et correctifs critiques (janvier 2026)
La sécurité de la supply chain est devenue mon fil rouge depuis plusieurs mois. Ce billet passe en revue les mises à jour importantes de janvier 2026 : age v1.3.0 introduit le chiffrement post-quantum, cosign v3.0.4 corrige une vulnérabilité dans la vérification offline, Buildah patche des CVE dans ses dépendances runtime. Voici ce que ça change pour vos pipelines et comment agir dès lundi matin.
Lire l'article
v3.11 : navigation améliorée et examens plus pédagogiques
V3.1 a refondu la navigation, amélioré les roadmaps et optimisé les examens sur mobile. V3.11 transforme les examens en outil d'apprentissage : explications enrichies et liens directs vers la doc après soumission.
Lire l'article