● Korben 📅 09/04/2026 à 11:30

Votre pipeline CI/CD GitLab a-t-il des fuites - Korben

Cybersécurité 👤 Korben
🏷️ Tags : cert docker rte
Illustration
Votre pipeline CI/CD GitLab a-t-il des fuites9 avril 2026 / PAR KORBEN ✨ / 3 MIN DE LECTURE /Catégories connexesCe qu’il faut retenirLes pipelines GitLab ne sont jamais scannés : les pirates s'infiltrent via la config .gitlab-ci.yml pour modifier les images Docker et exposer les secrets, comme lors de l'attaque tj-actions qui a touché 23 000 orgas en mars 2025Plumber est un scanner open source en Go qui détecte 14 failles courantes dans votre pipeline : images Docker latest, branches non protégées, jobs de sécurité désactivés avec allow_failure: true, curl | bash sans vérificationInstallation en 2 minutes (brew install plumber) ou intégration directe dans GitLab avec un token Maintainer pour scanner à chaque push et commenter les MR, mais GitLab only pour l'instantRésumé généré par IASi vous bossez avec le CI/CD de GitLab, y'a un angle mort que vous n'avez probablement jamais vérifié : La config de votre pipeline elle-même. Celle qui décide quelles images faire tourner et quels secrets exposer sans oublier les jobs à lancer. Et ça personne ne la scanne !C'est d'ailleurs exactement cet angle d'attaque qu'ont choisi les pirates derrière l'attaque tj-actions en mars 2025, qui a touché plus de 23 000 organisations en modifiant simplement des tags de version. Ou encore l'attaque sur Trivy , où un scanner de sécurité s'est retrouvé lui-même vérolé. Le schéma est toujours le même : on s'infiltre comme Mario, par la tuyauterie et pas par la porte d'entrée.Plumber que je vous présente aujourd'hui, est un outil open source en Go qui scanne votre .gitlab-ci.yml et les réglages de votre repo pour détecter les failles de configuration. Vous l'installez via Homebrew (brew tap getplumber/plumber && brew install plumber), vous lancez plumber analyze à la racine de votre projet, et il vous sort un rapport de conformité. 2 minutes chrono, même pas besoin de toucher à votre CI.Plumber embarque 14 contrôles de sécurité qui couvrent les erreurs de configuration les plus courantes. Ça détecte les images Docker taguées latest (le classique qui traîne dans 80% des projets), les branches pas protégées, les curl | bash sans vérification, et même les jobs de sécurité qu'on a désactivés en douce avec un petit allow_failure: true. Vous savez, le réglage foireux qui fait que votre pipeline affiche tout vert... alors qu'il ne scanne plus rien du tout !Côté output, Plumber génère une sorte de liste d'ingrédients de votre pipeline, un peu comme l'étiquette sur un paquet de bouffe mais pour votre chaîne de déploiement. Ça vous dit exactement quelles images, quels scripts et quelles dépendances tournent dans vos jobs. Le tout dans un format standard que d'autres outils de sécu peuvent digérer.Pour l'intégrer directement dans votre pipeline GitLab, c'est 2 lignes :include: - component: gitlab.com/getplumber/plumber/[email protected] Ça tourne à chaque push et chaque merge request. Y'a même un mode qui poste un commentaire de conformité directement dans la MR. Seul piège : il faut un token GitLab avec des droits Maintainer, sinon certains checks tournent dans le vide sans rien remonter. Une fois le token bien configuré, ça roule.Après c'est GitLab only pour l'instant donc si vous êtes full GitHub, c'est pas pour vous (pour le moment). Et le projet est encore jeune donc faut pas s'attendre à une couverture totale non plus. Quoi qu'il en soit, ça va bien plus loin que Checkov sur la partie pipeline. Les 2 sont assez complémentaires d'ailleurs.Pour en savoir plus c'est par ici : PlumberCet article peut contenir des images générées à l'aide de l'IA - J'apporte le plus grand soin à chaque article, toutefois, si vous repérez une boulette, faites-moi signe !Vous avez aimé cet article ?Alors rejoignez ma communauté sur Patreon et accédez à des articles exclusifs, des tutos avancés et plein d'autres surprises que je réserve à mes soutiens. C'est grâce à vous que je peux continuer à partager ma passion depuis 20 ans !Rejoindre l'aventure Créateurs de contenus, voici les offres qu'il vous faut pour cartonner !Contenu partenaireBlogueurs, influenceurs, créateurs de contenus... Si comme moi vous vivez de votre créativité en ligne, vous méritez ce qu'il y a de mieux pour votre activité !Laissez-moi vous présenter les nouvelles offres de o2switch : LA solution idéale pour propulser votre site ou blog. Avec l'offre Cloud à 1,86 € HT/mois, profitez de 12 CPU et 48 Go de RAM, de 42MB/s I/O, d'un espace disque illimité en NVMe, et de 8 sous-comptes inclus pour gérer plusieurs projets !Gérez votre WordPress comme un pro grâce aux outils exclusifs et à l'interface cPanel ultra simple. Soyez serein avec un nom de domaine inclus, des sauvegardes sur 45 jours, une instance NextCloud 250Go et TigerGuard. Le support prioritaire 24/7 est là pour vous !Vous voulez le meilleur ? L'offre Cloud est à seulement 1,86 € HT/mois. Oui oui, c'est tout ! Et si vous voulez encore plus de puissance, l'offre Pro avec 24 CPU et 64 Go de RAM est à 6,25 € HT/mois. Offrez à votre site le tremplin qu'il mérite !Découvrez les nouvelles offres o2switch📬 La newsletter Korben — Un concentré de tech, d'actu et de bidouille dans votre boite mail. S'inscrire
← Retour