Sécurité Pipelines CI/CD
OIDC authentication, secrets management, SLSA provenance, minimal permissions, supply chain security
1Qu'est-ce que OIDC (OpenID Connect) dans le contexte des pipelines CI/CD ?
Qu'est-ce que OIDC (OpenID Connect) dans le contexte des pipelines CI/CD ?
Réponse
OIDC est un protocole d'authentification qui permet aux pipelines CI/CD de s'authentifier auprès des fournisseurs cloud sans utiliser de secrets statiques. Au lieu de stocker des credentials longue durée, le pipeline échange un token JWT signé contre des credentials temporaires. Cette approche élimine les risques liés au stockage et à la rotation des secrets, tout en offrant une meilleure traçabilité grâce aux claims du token qui identifient précisément le workflow et le repository.
2Quel est le principal avantage de External Secrets Operator dans Kubernetes ?
Quel est le principal avantage de External Secrets Operator dans Kubernetes ?
Réponse
External Secrets Operator synchronise automatiquement les secrets depuis des gestionnaires externes (Vault, AWS Secrets Manager, Azure Key Vault) vers des Secrets Kubernetes natifs. Cette approche centralise la gestion des secrets dans un système dédié tout en permettant aux applications de consommer les secrets de manière standard. Elle facilite également la rotation automatique des secrets et évite de stocker des credentials sensibles directement dans les manifestes Kubernetes ou les repositories Git.
3Que signifie le principe de least privilege dans le contexte des pipelines CI/CD ?
Que signifie le principe de least privilege dans le contexte des pipelines CI/CD ?
Réponse
Le principe de least privilege consiste à accorder aux pipelines uniquement les permissions strictement nécessaires pour accomplir leurs tâches. Par exemple, un pipeline de build ne devrait avoir que des droits de lecture sur le code source, tandis qu'un pipeline de déploiement n'aurait accès qu'aux ressources de l'environnement cible. Cette approche limite les dégâts en cas de compromission d'un pipeline et réduit la surface d'attaque globale de l'infrastructure.
Qu'est-ce qu'un SBOM (Software Bill of Materials) ?
Pourquoi utiliser HashiCorp Vault plutôt que des variables d'environnement pour stocker les secrets ?
+17 questions d'entretien
Autres sujets d'entretien DevOps
Contrôle de version & Git
Fondamentaux Linux
Shell Scripting & Bash
Bases du Networking
Fondamentaux Docker
Fondamentaux CI/CD
GitHub Actions
GitLab CI/CD
Jenkins
Les bases de Kubernetes
Networking Kubernetes
Kubernetes Avancé
Ingress & API Gateway
Les bases de Terraform
Terraform Avancé
Ansible & Configuration Management
AWS Essentiels
Fondamentaux Azure
Fondamentaux GCP
Monitoring & Prometheus
Logging & ELK Stack
Alerting & Incident Response
Cloud Identity & Secrets
Helm & Kubernetes
Sécurité Runtime & Cluster
Container Supply Chain Security
Service Mesh & Istio
GitOps & ArgoCD
Progressive Delivery
Observabilité Distribuée
Disaster Recovery & Backup
Optimisation des Performances
Optimisation des Coûts Cloud
Principes SRE
Chaos Engineering
Platform Engineering
Maîtrise DevOps pour ton prochain entretien
Accède à toutes les questions, flashcards, tests techniques, exercices de code review et simulateurs d'entretien.
Commencer gratuitement