Blog de Stéphane ROBERT

À propos de ce blog : Ici, je partage des idées personnelles, des actualités marquantes de l'écosystème DevOps/Cloud, des billets d'humeur ou des réflexions rapides.

Billets à la une

GitHub Actions : checkout v7 bloque enfin les pwn requests

Depuis des semaines je répète la même mise en garde : pull_request_target plus un checkout de fork, c'est la porte ouverte au vol de vos secrets. C'est la pwn request. GitHub vient enfin de poser un garde-fou par défaut dans actions/checkout v7. Voici ce que ça change, l'exception à surveiller, et pourquoi le backport du 16 juillet va protéger presque tous les dépôts.

22 juin 2026

#github-actions#securite#devsecops

Lire l'article

01 / 04

Atomic Arch : 400 paquets AUR détournés, le réflexe registre que j'en retire

Campagne Atomic Arch : 400+ paquets AUR orphelins adoptés puis piégés (voleur Rust, rootkit eBPF). Mécanisme, êtes-vous concerné, et l'ancrage SOCLE.

16 juin 2026

#supply-chain#linux#alerte

Lire l'article

02 / 04

CRA : votre logiciel est-il concerné par le Cyber Resilience Act ?

Le Cyber Resilience Act est déjà en vigueur depuis le 10 décembre 2024, mais sa première vraie échéance opérationnelle arrive le 11 septembre 2026 avec les obligations de reporting des vulnérabilités exploitées. Beaucoup d'équipes pensent encore qu'il ne vise que les objets connectés : c'est faux. Le CRA concerne les produits avec éléments numériques mis sur le marché européen : logiciels installés, firmwares, appliances, agents, SDK, extensions, applications mobiles. Avant de parler SBOM, conformité ou sanctions, une seule question : êtes-vous concerné ?

5 juin 2026

#cra#cyber-resilience-act#supply-chain

Lire l'article

03 / 04

Megalodon : pourquoi OIDC seul ne suffit pas

OIDC supprime les credentials cloud statiques, mais pas les credentials temporaires exposés pendant l'exécution du runner. Megalodon rappelle les couches à empiler autour : trust policy stricte, environments protégés, permissions minimales, egress control et gouvernance des workflows.

26 mai 2026

#github-actions#oidc#supply-chain

Lire l'article

04 / 04

Tous les billets

22 juin 2026 / Stéphane Robert

GitHub Actions : checkout v7 bloque enfin les pwn requests

Depuis des semaines je répète la même mise en garde : pull_request_target plus un checkout de fork, c'est la porte ouverte au vol de vos secrets. C'est la pwn request. GitHub vient enfin de poser un garde-fou par défaut dans actions/checkout v7. Voici ce que ça change, l'exception à surveiller, et pourquoi le backport du 16 juillet va protéger presque tous les dépôts.

#github-actions#securite#devsecops

Lire l'article

16 juin 2026 / Stéphane Robert

Atomic Arch : 400 paquets AUR détournés, le réflexe registre que j'en retire

Campagne Atomic Arch : 400+ paquets AUR orphelins adoptés puis piégés (voleur Rust, rootkit eBPF). Mécanisme, êtes-vous concerné, et l'ancrage SOCLE.

#supply-chain#linux#alerte

Lire l'article

5 juin 2026 / Stéphane Robert

CRA : votre logiciel est-il concerné par le Cyber Resilience Act ?

Le Cyber Resilience Act est déjà en vigueur depuis le 10 décembre 2024, mais sa première vraie échéance opérationnelle arrive le 11 septembre 2026 avec les obligations de reporting des vulnérabilités exploitées. Beaucoup d'équipes pensent encore qu'il ne vise que les objets connectés : c'est faux. Le CRA concerne les produits avec éléments numériques mis sur le marché européen : logiciels installés, firmwares, appliances, agents, SDK, extensions, applications mobiles. Avant de parler SBOM, conformité ou sanctions, une seule question : êtes-vous concerné ?

#cra#cyber-resilience-act#supply-chain

Lire l'article

26 mai 2026 / Stéphane Robert

Megalodon : pourquoi OIDC seul ne suffit pas

OIDC supprime les credentials cloud statiques, mais pas les credentials temporaires exposés pendant l'exécution du runner. Megalodon rappelle les couches à empiler autour : trust policy stricte, environments protégés, permissions minimales, egress control et gouvernance des workflows.

#github-actions#oidc#supply-chain

Lire l'article

25 mai 2026 / Stéphane Robert

actions-cool/issues-helper : 53 tags pointent sur un commit piégé

Tous les tags de actions-cool/issues-helper pointent vers un commit imposteur qui vide les secrets CI/CD. Détection, IOCs et défense par épinglage SHA.

#supply-chain#github-actions#alerte

Lire l'article

20 mai 2026 / Stéphane Robert

GitHub vacille : l'open source est-il en crise ?

En quelques semaines, GitHub a accumulé un incident de sécurité interne, une fiabilité en berne et le départ de projets emblématiques. Beaucoup y lisent la crise de l'open source. Je crois qu'on confond trois choses : GitHub l'entreprise, la sécurité de la supply chain et l'open source lui-même. Un billet que j'enrichirai au fil de l'eau.

#open-source#supply-chain#devsecops

Lire l'article

20 mai 2026 / Stéphane Robert

Shai-Hulud revient : un ver npm pille l'écosystème AntV

Shai-Hulud est de retour. Ce ver npm auto-répliquant a frappé l'écosystème AntV d'Alibaba le 19 mai 2026 : il lit la mémoire des runners GitHub Actions, vole 130 types de secrets et plante des backdoors dans Claude Code. J'ai vérifié mon propre package-lock.json, voici ce que j'ai trouvé et ce qu'il faut faire.

#supply-chain#npm#devsecops

Lire l'article

25 avril 2026 / Stéphane Robert

GitHub Actions 2026 : ce que change la nouvelle roadmap sécurité

GitHub a publié sa roadmap sécurité 2026 pour Actions. Dependency locking, policies, secrets scopés, Actions Data Stream et egress firewall répondent à une réalité devenue visible avec Trivy, Checkmarx/KICS et Bitwarden CLI : la CI/CD est désormais une surface d'attaque critique.

#github-actions#supply-chain#devsecops

Lire l'article

24 avril 2026 / Stéphane Robert

Checkmarx/KICS compromis : quand les scanners de sécurité deviennent la surface d'attaque

Après Trivy, l'incident Checkmarx/KICS confirme que les scanners de sécurité exécutés dans les pipelines CI/CD doivent être traités comme des dépendances critiques à confiner.

#checkmarx#kics#supply-chain

Lire l'article

13 avril 2026 / Stéphane Robert

Argo CD + Kyverno : le policy-as-code GitOps qui manquait à votre cluster

Déployer Kyverno via Argo CD pour appliquer des politiques de sécurité Kubernetes en mode GitOps. Pattern App-of-Apps, policies d'admission, audit vs enforce et impact supply chain.

#kubernetes#supply-chain#devsecops

Lire l'article

11 avril 2026 / Stéphane Robert

Pourquoi les certifications Linux, Kubernetes et Terraform vont reprendre de la valeur à l'ère de l'IA

L'IA banalise la production apparente : un manifest Kubernetes, un module Terraform ou une commande Linux se génèrent en quelques secondes. Mais cette facilité affaiblit la valeur du livrable brut. Les certifications pratiques, RHCSA, LFCS, CKA, CKS, Terraform Associate, redeviennent un signal fort, parce qu'elles valident ce que l'IA ne peut pas prouver à votre place.

#certifications#ia#linux

Lire l'article

7 avril 2026 / Stéphane Robert

L'affaire Trivy, Acte IV : Aqua a parlé, voici ce que ça change

Aqua Security a publié une analyse technique détaillée de l'attaque supply chain sur Trivy. Tag poisoning forensique, payload trois étages, persistance ICP blockchain : décryptage complet et leçons pour vos pipelines.

#trivy#supply-chain#devsecops

Lire l'article

Précédent

1 2 3 4 … 14

Suivant

×

📖 Voir la documentation →