Aller au contenu

Règles yaml Semgrep

pipeline_generic_npm_unpinned

Résumé :

Installation d'un package npm non épinglé dans le pipeline CI/CD.

Gravité : Élevée

CWE : CWE-829

Description :

Au moins une dépendance NPM non épinglée est installée dans le script du pipeline CI/CD. Lors de l'exécution du script du pipeline CI/CD, la dernière version, potentiellement dangereuse ou malveillante, de la dépendance sera installée.

L'instruction suivante est considérée comme non sécurisée : $VALUE

Remédiation :

Assurez-vous que la dépendance installée est nécessaire pour l'exécution du pipeline CI/CD. Si elle est nécessaire, modifiez votre script CI/CD pour garantir que toute dépendance installée a sa version épinglée.

OWASP :

- A08:2021-Nomenclature logicielle et échecs d'intégrité des données

pipeline_generic_pip_unpinned

Résumé :

Installation de paquets pip non épinglés dans le pipeline CI/CD.

Sévrité : Élevée

CWE : CWE-829

Description :

Au moins une dépendance PIP non épinglée est installée dans le script du pipeline CI/CD. Lors de l'exécution du script du pipeline CI/CD, la dernière version, potentiellement dangereuse ou malveillante, de la dépendance sera installée.

L'instruction suivante est considérée comme dangereuse : $VALUE

Remédiation :

Assurez-vous que la dépendance installée est nécessaire à l'exécution du pipeline CI/CD. Si elle est nécessaire, modifiez votre script CI/CD pour garantir que toute dépendance installée ait sa version épinglée.

OWASP :

- A08:2021-Failles de l'intégrité des logiciels et des données

pipeline_generic_script_unpinned

Résumé :

Exécution de scripts distants non épinglés dans un pipeline CI/CD.

Gravité : Élevée

CWE : CWE-829

Description :

Au moins un script shell non épinglé est exécuté dans le script du pipeline CI/CD. Lors de l'exécution du script du pipeline CI/CD, la dernière version, potentiellement non sécurisée / malveillante, du script shell sera exécutée.

L'instruction suivante est considérée comme non sécurisée : $VALUE

Remédiation :

Assurez-vous que tous les scripts récupérés à partir de sources externes dans les scripts de pipeline CI/CD sont épinglés à des versions spécifiques et de confiance pour atténuer le risque d'exécution de code malveillant.

OWASP :

  • A08:2021-Nomenclature logicielle et échecs d'intégrité des données