Aller au contenu

--- # SOURCE_HASH: c6a9c15b484283cc64ed83ee9c3424c7a69fa700 title: Configuration Incorrecte de Webhook Détectée
shortname: cicd-webhooks-misconfiguration
description: Détecte lorsque les webhooks requis sont manquants ou désactivés dans les flux de travail CI/CD, ce qui peut empêcher les analyses de sécurité de se déclencher lors des modifications de code.
anchor: cicd
group: supply-chain-cicd-weak-configuration
pretty_name: CI/CD - Configuration Incorrecte de Webhook Détectée
categories:
- TOUT
- chaîne d'approvisionnement
- chaîne d'approvisionnement-cicd-configuration-faible
- renforcer-baseline
- renforcer-durci

{{ title }}

Cette règle détecte lorsqu'un webhook requis est manquant ou a été désactivé pour une organisation ou un projet. Les webhooks jouent un rôle crucial dans le déclenchement des analyses de sécurité automatisées et des flux de travail chaque fois que du code est poussé vers un dépôt. Sans eux, de nouveaux commits peuvent contourner les contrôles de sécurité, permettant aux vulnérabilités de se glisser dans la base de code sans être détectées.

De telles erreurs de configuration peuvent être accidentelles, dues à des changements dans les paramètres ou les autorisations, ou intentionnelles – réalisées par un acteur malveillant pour éviter la détection. Il est nécessaire d'enquêter et de restaurer la fonctionnalité appropriée des webhooks pour maintenir l'intégrité du pipeline CI/CD et de l'ensemble de la supply chain logicielle.

Configuration Webhook Attendue – Tous les Webhooks Présents et Activés

Figure 1 : État attendu – tous les webhooks liés à la sécurité sont présents et activés.

Pourquoi c'est important

  • Lacunes de sécurité : Sans webhooks fonctionnels, les scanners de sécurité ou d'autres outils d'automatisation (comme les pipelines CI/CD) peuvent ne pas s'exécuter, créant des zones d'ombre.
  • Échec de gouvernance : Les webhooks désactivés peuvent signaler des contrôles faibles sur le flux de développement.
  • Comportement malveillant potentiel : Désactiver des webhooks peut être une tentative délibérée d'empêcher les outils de sécurité de détecter des vulnérabilités ou des malwares intégrés dans le code.

Webhooks Mal Configurés – Un Manquant, Un Désactivé

Figure 2 : Mauvaise configuration du webhook détectée – un manquant et un désactivé.

Étapes d'atténuation

  1. Vérifiez les paramètres du webhook dans votre fournisseur SCM (par exemple, GitHub, GitLab, Bitbucket) pour vous assurer que les webhooks requis sont correctement configurés.
  2. Réactivez tous les webhooks liés à la sécurité qui ont été désactivés.
  3. Vérifiez l'historique de livraison des webhooks pour identifier quand les problèmes ont commencé et croiser avec l'historique des commits.
  4. Restreignez les autorisations concernant la configuration des webhooks aux rôles de confiance uniquement.
  5. Mettez en place une surveillance pour alerter lorsque des webhooks critiques sont supprimés ou désactivés.
  6. Auditez les commits récents pour des activités suspectes ou des changements non scannés pendant que le webhook était désactivé.