Security & PrivacyLunch Talk15min
GitHub Actions : une bombe à retardement pour la supply chain security
GitHub Actions est devenu incontournable pour le CI/CD, mais reste insecure by default. En 2025, plusieurs supply chain attacks (tj-actions, s1ngularity, GhostAction, Shai-Hulud) ont exfiltré des secrets, prouvant que les attaquants ciblent massivement la CI. Les bonnes pratiques classiques (pin d’actions, limiter les secrets) sont loin d’être suffisantes. Ce talk montre comment ces attaques fonctionnent, pourquoi le modèle de sécurité actuel de GitHub est inadapté et surtout quelles défenses concrètes adopter : scoped secrets avec règles d’approbation, permissions minimales sur le GITHUB_TOKEN, egress controls, durcissement des runners et outils de protection runtime.
talk.summaryAiDisclaimer
Thierry ABALEAShipfox
talkDetail.whenAndWhere
Wednesday, April 22, 13:00-13:15
Paris 143
GitHub Actions est devenu incontournable pour le CI/CD, mais reste insecure by default. En 2025, plusieurs supply chain attacks (tj-actions, s1ngularity, GhostAction, Shai-Hulud) ont exfiltré des secrets, prouvant que les attaquants ciblent massivement la CI. Les bonnes pratiques classiques (pin d’actions, limiter les secrets) sont loin d’être suffisantes. Ce talk montre comment ces attaques fonctionnent, pourquoi le modèle de sécurité actuel de GitHub est inadapté et surtout quelles défenses concrètes adopter : scoped secrets avec règles d’approbation, permissions minimales sur le GITHUB_TOKEN, egress controls, durcissement des runners et outils de protection runtime.
Thierry ABALEA
Thierry Abaléa est cofondateur et CEO de Shipfox https://www.shipfox.io, une plateforme qui accélère et sécurise GitHub Actions. Auparavant, il a été VP of Engineering chez GitGuardian https://www.gitguardian.com, l’app la plus installée sur le GitHub Marketplace, spécialisée dans la détection et la remédiation des secrets exposés. Avec une expertise à l’intersection de la productivité développeur, du CI/CD et du DevSecOps, Thierry partage une vision pragmatique : sécuriser la software supply chain sans ralentir les équipes.
