https://video.ut0pia.org/videos/watch/42df10bc-029b-4d5e-8b81-dec67f417b74 Présentation par : Thierry ABALEA (Shipfox) 📕 Résumé : GitHub Actions est devenu incontournable pour le CI/CD, mais reste insecure by default. En 2025, plusieurs supply chain attacks (tj-actions, s1ngularity, GhostAction, Shai-Hulud) ont exfiltré des secrets, prouvant que les attaquants ciblent massivement la CI. Les bonnes pratiques classiques (pin d’actions, limiter les secrets) sont loin d’être suffisantes. Ce talk montre comment ces attaques fonctionnent, pourquoi le modèle de sécurité actuel de GitHub est inadapté et surtout quelles défenses concrètes adopter : scoped secrets avec règles d’approbation, permissions minimales sur le GITHUB_TOKEN, egress controls, durcissement des runners et outils de protection runtime. Enregistré en avril 2026 à Paris, Palais des Congrès, Porte Maillot. 🔥 Pour rester informé sur l'actualité de Devoxx France, suivez nous sur LinkedIn : https://www.linkedin.com/company/devoxx-france/ Bluesky : https://bsky.app/profile/devoxx.fr consultez notre site web https://www.devoxx.fr/ Tue, 12 May 2026 16:39:30 GMT https://validator.w3.org/feed/docs/rss2.html PeerTube - https://video.ut0pia.org https://video.ut0pia.org/lazy-static/avatars/0287a09a-aae7-4840-9843-b416426e7046.webp https://video.ut0pia.org/videos/watch/42df10bc-029b-4d5e-8b81-dec67f417b74 All rights reserved, unless otherwise specified in the terms specified at https://video.ut0pia.org/about and potential licenses granted by each content's rightholder.