Billets à la une
Tous les billets
Megalodon : pourquoi OIDC seul ne suffit pas
OIDC supprime les credentials cloud statiques, mais pas les credentials temporaires exposés pendant l'exécution du runner. Megalodon rappelle les couches à empiler autour : trust policy stricte, environments protégés, permissions minimales, egress control et gouvernance des workflows.
Lire l'article actions-cool/issues-helper : 53 tags pointent sur un commit piégé
Tous les tags de actions-cool/issues-helper pointent vers un commit imposteur qui vide les secrets CI/CD. Détection, IOCs et défense par épinglage SHA.
Lire l'article GitHub vacille : l'open source est-il en crise ?
En quelques semaines, GitHub a accumulé un incident de sécurité interne, une fiabilité en berne et le départ de projets emblématiques. Beaucoup y lisent la crise de l'open source. Je crois qu'on confond trois choses : GitHub l'entreprise, la sécurité de la supply chain et l'open source lui-même. Un billet que j'enrichirai au fil de l'eau.
Lire l'article Shai-Hulud revient : un ver npm pille l'écosystème AntV
Shai-Hulud est de retour. Ce ver npm auto-répliquant a frappé l'écosystème AntV d'Alibaba le 19 mai 2026 : il lit la mémoire des runners GitHub Actions, vole 130 types de secrets et plante des backdoors dans Claude Code. J'ai vérifié mon propre package-lock.json — voici ce que j'ai trouvé et ce qu'il faut faire.
Lire l'article GitHub Actions 2026 : ce que change la nouvelle roadmap sécurité
GitHub a publié sa roadmap sécurité 2026 pour Actions. Dependency locking, policies, secrets scopés, Actions Data Stream et egress firewall répondent à une réalité devenue visible avec Trivy, Checkmarx/KICS et Bitwarden CLI : la CI/CD est désormais une surface d'attaque critique.
Lire l'article Checkmarx/KICS compromis : quand les scanners de sécurité deviennent la surface d'attaque
Après Trivy, l'incident Checkmarx/KICS confirme que les scanners de sécurité exécutés dans les pipelines CI/CD doivent être traités comme des dépendances critiques à confiner.
Lire l'article Argo CD + Kyverno : le policy-as-code GitOps qui manquait à votre cluster
Déployer Kyverno via Argo CD pour appliquer des politiques de sécurité Kubernetes en mode GitOps. Pattern App-of-Apps, policies d'admission, audit vs enforce et impact supply chain.
Lire l'article Pourquoi les certifications Linux, Kubernetes et Terraform vont reprendre de la valeur à l'ère de l'IA
L'IA banalise la production apparente : un manifest Kubernetes, un module Terraform ou une commande Linux se génèrent en quelques secondes. Mais cette facilité affaiblit la valeur du livrable brut. Les certifications pratiques — RHCSA, LFCS, CKA, CKS, Terraform Associate — redeviennent un signal fort, parce qu'elles valident ce que l'IA ne peut pas prouver à votre place.
Lire l'article L'affaire Trivy — Acte IV : Aqua a parlé, voici ce que ça change
Aqua Security a publié une analyse technique détaillée de l'attaque supply chain sur Trivy. Tag poisoning forensique, payload trois étages, persistance ICP blockchain : décryptage complet et leçons pour vos pipelines.
Lire l'article Trivy compromis : Chainguard offre 12 mois gratuits et une leçon supply chain
Suite à l'incident Trivy de mars 2026, Chainguard propose 12 mois d'images Trivy gratuites. Au-delà de l'offre commerciale, l'incident illustre une leçon essentielle : une chaîne de build indépendante réduit l'impact d'une release compromise, et ce que cela change pour vos pipelines DevSecOps.
Lire l'article KICS et LiteLLM compromis : deux nouvelles attaques supply chain qui confirment un changement d’échelle
Après Trivy, de nouvelles compromissions touchent la GitHub Action KICS et les paquets PyPI de LiteLLM. Analyse des vecteurs, du malware, des impacts et des mesures à prendre.
Lire l'article Trivy compromis une seconde fois : la release v0.69.4 était empoisonnée
Trois semaines après l’attaque initiale, Trivy a subi un second incident : release v0.69.4 compromise, propagation via Homebrew, registres de conteneurs et GitHub Actions.
Lire l'article