CI/CD Goat : le "GOAD" de la sécurité CI/CD

À l’instar de GOAD (Great Offensive Active Directory lab), bien connu des professionnels pour simuler des environnements Active Directory vulnérables, CI/CD Goat propose une approche équivalente appliquée aux pipelines DevOps. Développé par Cider Security, le projet vise à offrir une plateforme réaliste et exploitable pour monter en compétence sur les menaces spécifiques aux chaînes CI/CD.

L’objectif est identique : permettre aux équipes cyber de "penser comme un attaquant", mais dans un cadre structuré, reproductible et isolé. Là où GOAD met en scène des failles classiques d’un environnement AD mal sécurisé, CI/CD Goat reproduit des situations typiques de compromission de pipelines : usage de runners non isolés, abus de variables d’environnement, injections dans les scripts de build, gestion laxiste des identifiants ou encore dérives dans l’usage de services cloud émulés via LocalStack.

Ces environnements volontairement vulnérables sont précieux pour former les équipes internes, tester des outils de détection, ou encore expérimenter des stratégies de durcissement. Ils permettent également de mieux appréhender les implications de sécurité en amont du cycle de vie logiciel, au plus près des processus d'intégration et de déploiement.

CI/CD Goat, comme GOAD, s’impose donc comme un outil de référence pour tous ceux qui souhaitent explorer la sécurité offensive… en mode DevSecOps.

Source : Github