Security & PrivacySecurity & Privacy
Lunch Talk15min
BEGINNER

GitHub Actions : une bombe à retardement pour la supply chain security

GitHub Actions est devenu incontournable pour le CI/CD, mais reste insecure by default. En 2025, plusieurs supply chain attacks (tj-actions, s1ngularity, GhostAction, Shai-Hulud) ont exfiltré des secrets, prouvant que les attaquants ciblent massivement la CI. Les bonnes pratiques classiques (pin d’actions, limiter les secrets) sont loin d’être suffisantes. Ce talk montre comment ces attaques fonctionnent, pourquoi le modèle de sécurité actuel de GitHub est inadapté et surtout quelles défenses concrètes adopter : scoped secrets avec règles d’approbation, permissions minimales sur le GITHUB_TOKEN, egress controls, durcissement des runners et outils de protection runtime.

Thierry ABALEA
Thierry ABALEAShipfox

talkDetail.whenAndWhere

Wednesday, April 22, 13:00-13:15
TBA 12
talks.roomOccupancytalks.noOccupancyInfo
talks.description
GitHub Actions est devenu incontournable pour le CI/CD, mais reste insecure by default. En 2025, plusieurs supply chain attacks (tj-actions, s1ngularity, GhostAction, Shai-Hulud) ont exfiltré des secrets, prouvant que les attaquants ciblent massivement la CI. Les bonnes pratiques classiques (pin d’actions, limiter les secrets) sont loin d’être suffisantes. Ce talk montre comment ces attaques fonctionnent, pourquoi le modèle de sécurité actuel de GitHub est inadapté et surtout quelles défenses concrètes adopter : scoped secrets avec règles d’approbation, permissions minimales sur le GITHUB_TOKEN, egress controls, durcissement des runners et outils de protection runtime.
sécurité
défenses
attaques
ci/cd
talks.speakers
Thierry ABALEA

Thierry ABALEA

Shipfox

France

Thierry Abaléa est cofondateur et CEO de Shipfox https://www.shipfox.io, une plateforme qui accélère et sécurise GitHub Actions. Auparavant, il a été VP of Engineering chez GitGuardian https://www.gitguardian.com, l’app la plus installée sur le GitHub Marketplace, spécialisée dans la détection et la remédiation des secrets exposés. Avec une expertise à l’intersection de la productivité développeur, du CI/CD et du DevSecOps, Thierry partage une vision pragmatique : sécuriser la software supply chain sans ralentir les équipes.

talkDetail.rateThisTalk

talkDetail.poortalkDetail.excellent

talkDetail.ratingNotYetAvailable

talkDetail.ratingAvailableWhenStarted

talkDetail.signInRequired

talkDetail.signInToRateDescription

occupancy.title

occupancy.votingNotYetAvailable

occupancy.votingAvailableBeforeStart

talkDetail.signInRequired

occupancy.signInToVoteDescription

comments.title

comments.speakerNotEnabledComments