GitHub Actions : les bonnes pratiques pour des pipelines sécurisés

GitHub Actions est devenu le standard de facto pour la CI/CD dans l’écosystème GitHub. Mais sa flexibilité peut devenir un piège de sécurité si les bonnes pratiques ne sont pas suivies.

Les erreurs les plus courantes

• Actions tierces non pinnées — Utilisez toujours le hash du commit (actions/checkout@8ade135) plutôt que le tag (@v4) pour éviter les attaques de supply chain
• Secrets dans les logs — GitHub masque automatiquement les secrets, mais les valeurs dérivées (base64, substring) ne sont pas protégées
• pull_request_target mal utilisé — Ce trigger a accès aux secrets du repo cible, un PR malveillant peut les exfiltrer
• Permissions trop larges — Définissez toujours permissions: au niveau du job avec le minimum nécessaire

Template sécurisé recommandé

Activez les Rulesets pour forcer la CI verte avant merge. Utilisez des environments avec approbation manuelle pour les déploiements production. Et configurez Dependabot pour maintenir vos actions à jour automatiquement.

Enfin, adoptez les attestations SLSA (Supply-chain Levels for Software Artifacts) pour signer vos artefacts de build — c’est le futur de la supply chain security.