Votre pipeline CI/CD GitLab a-t-il des fuites
Si vous bossez avec le CI/CD de GitLab, y’a un angle mort que vous n’avez probablement jamais vérifié : La config de votre pipeline elle-même. Celle qui décide quelles images faire tourner et quels secrets exposer sans oublier les jobs à lancer. Et ça personne ne la scanne !
C’est d’ailleurs exactement cet angle d’attaque qu’ont choisi les pirates derrière
l’attaque tj-actions
en mars 2025, qui a touché plus de 23 000 organisations en modifiant simplement des tags de version. Ou encore
l’attaque sur Trivy
, où un scanner de sécurité s’est retrouvé lui-même vérolé. Le schéma est toujours le même : on s’infiltre comme Mario, par la tuyauterie et pas par la porte d’entrée.
Plumber
que je vous présente aujourd’hui, est un outil open source en Go qui scanne votre .gitlab-ci.yml et les réglages de votre repo pour détecter les failles de configuration. Vous l’installez via Homebrew (brew tap getplumber/plumber && brew install plumber), vous lancez plumber analyze à la racine de votre projet, et il vous sort un rapport de conformité. 2 minutes chrono, même pas besoin de toucher à votre CI.
Plumber embarque 14 contrôles de sécurité qui couvrent les erreurs de configuration les plus courantes. Ça détecte les images Docker taguées latest (le classique qui traîne dans 80% des projets), les branches pas protégées, les curl | bash sans vérification, et même les jobs de sécurité qu’on a désactivés en douce avec un petit allow_failure: true. Vous savez, le réglage foireux qui fait que votre pipeline affiche tout vert… alors qu’il ne scanne plus rien du tout !
Côté output, Plumber génère une sorte de liste d’ingrédients de votre pipeline, un peu comme l’étiquette sur un paquet de bouffe mais pour votre chaîne de déploiement. Ça vous dit exactement quelles images, quels scripts et quelles dépendances tournent dans vos jobs. Le tout dans un format standard que d’autres outils de sécu peuvent digérer.
Pour l’intégrer directement dans votre pipeline GitLab, c’est 2 lignes :
include:
- component: gitlab.com/getplumber/plumber/[email protected]
Ça tourne à chaque push et chaque merge request. Y’a même un mode qui poste un commentaire de conformité directement dans la MR. Seul piège : il faut un token GitLab avec des droits Maintainer, sinon certains checks tournent dans le vide sans rien remonter. Une fois le token bien configuré, ça roule.
Après c’est GitLab only pour l’instant donc si vous êtes full GitHub, c’est pas pour vous (pour le moment). Et le projet est encore jeune donc faut pas s’attendre à une couverture totale non plus. Quoi qu’il en soit, ça va bien plus loin que
Checkov
sur la partie pipeline. Les 2 sont assez complémentaires d’ailleurs.
Pour en savoir plus c’est par ici :
Plumber
Leave a Comment