<aside> 📖

Voici quelques règles à contrôler lors d’un audit de pipeline CI / CD

</aside>

1. Analyse des pipelines existants et outils

A. Efficacité et fiabilité des pipelines

• Chaque pipeline est documenté et versionné.
• Les pipelines contiennent des étapes claires et atomiques.
• Les logs des pipelines sont accessibles et faciles à interpréter.
• Les pipelines échouent rapidement en cas d’erreur critique.
• Les pipelines incluent des étapes de rollback automatique en cas d’échec.
• Les tests unitaires sont exécutés pour chaque commit.
• Les tests d’intégration sont déclenchés automatiquement pour chaque build.
• Les déploiements sont automatisés et reproductibles.
• Les builds ne contiennent pas de dépendances inutiles.
• Les pipelines permettent des ré-exécutions idempotentes.

B. Sécurité

• Les secrets sont injectés via des variables d’environnement sécurisées.
• Les outils de scan de dépendances SCA (ex : OWASP Dependency-Check) sont intégrés.
• Les outils d’analyse de sécurité du code SAST (ex : Snyk) sont intégrés.
• Les images conteneurisées utilisées sur les runners sont allégées pour réduire la surface d’attaque.
• Les règles réseau incluent des restrictions de trafic strictes dans les environnements CI/CD.