L'intégration continue - un talon d'Achille?

Prenons le cas de Jenkins par exemple, c’est un outil open source d’intégration continue, utilisé particulièrement en DevOps. Il compte plus de 150 000 installations actives, dispose de plus de 1000 plugins et le nombre d’utilisateurs a dépassé le million en 2018, de quoi confirmer sa fiabilité.

Jenkins contient un catalogue de modules (plugins) périphériques pour contrôler en simultané des tests unitaires, de tests de qualité, des bugs, gérer des mises à jour, etc. Les plugins permettent d’ajouter des fonctionnalités spécifiques aux programmes, et une fois ajoutés ils s’intègrent en formant un tout fonctionnel complet et très évolutif.

Dans la pratique, il est assez facile de les disposer, et avec une formation adaptée, l’utilisation devient plutôt accessible et fiable.

Il reste cependant un point sensible, qui dit plugins, dit modules externes, et c’est bien le cas, une majorité des plugins Jenkins sont développés par des tiers. Les plugins apportent des fonctions mais aussi une cybervulnérabilité.

La Cybermenace s’immisce dans les plateformes de développement.

Nous traversons l’ère de la cybercriminalité, les attaques se multiplient, et les hackers trouvent des nouvelles brèches pour s’approprier des données et demander des rançons.

Les entreprises sont contraintes de se protéger, en surveillant et sécurisant ses systèmes informatiques.

Alors quelle est la solution ?

Cela n’est pas une fatalité. Conformément à l’esprit ISO27001, des mesures adaptées doivent être mise en place. Par exemple :

• Télécharger uniquement les plugins officiels, présents sur le site Jenkins

• Effectuer une mise à jour régulière

• Protéger le répertoire principal de Jenkins
• Vérifier la vulnérabilité des codes source avant installation