🧩 Bitbucket Pipelines — CI/CD Atlassian (bitbucket-pipelines.yml, Pipes, Runners)

1.1 Bitbucket Pipelines — définition, composants, positionnement

Bitbucket Pipelines en 30 secondes

Pipelines est le moteur CI/CD de Bitbucket Cloud. Le pipeline est défini dans un fichier YAML (bitbucket-pipelines.yml) et est composé de steps exécutant des scripts (souvent dans des conteneurs Docker). La référence de configuration est fournie par Atlassian. :contentReference[oaicite:2]{index=2}

Angle enterprise : runners self-hosted, secrets masqués, et intégrations “Pipes” (blocs réutilisables). :contentReference[oaicite:3]{index=3}

Catégorisation IDEO-Lab

DevOps CI/CD Pipelines as code Security

Diagramme “push → step → deploy”

Commit / PR
  └─ pipelines:
        default:
          - step: build/test
          - step: package (artifacts)
          - step: deploy staging (deployment env)
          - step: deploy prod (gate/approval côté process)

Point clé : la granularité est centrée sur le step + ses options (cache/artifacts/services). :contentReference[oaicite:4]{index=4}

Pipeline type : fast PR + full main + deploy

pipelines:
  pull-requests:
    "**":
      - step: { name: "Lint+Unit", script: ["ruff check .", "pytest -q"] }

  branches:
    main:
      - step: { name: "Build", script: ["python -m build"], artifacts: ["dist/**"] }
      - step:
          name: "Deploy Staging"
          deployment: staging
          script: ["./deploy.sh staging"]
      - step:
          name: "Deploy Prod"
          deployment: production
          script: ["./deploy.sh production"]

Référence : options de step / artifacts / deploy sont détaillées dans la doc Atlassian. :contentReference[oaicite:5]{index=5}

✅ Très pertinent si…

Ton SCM est Bitbucket Cloud et tu veux une intégration native “repo → CI/CD”.
Tu veux des intégrations rapides via Pipes. :contentReference[oaicite:6]{index=6}
Tu as besoin d’exécution sur ton infra via Runners. :contentReference[oaicite:7]{index=7}

⚠️ Points d’attention

Self-hosted runners = Ops + hardening + monitoring (surface d’attaque).
Hygiène YAML : anchors, factorisation, évite duplication et drift.
Gestion stricte des variables/secrets (scopes + masking). :contentReference[oaicite:8]{index=8}

Écosystème Atlassian (où Pipelines s’aligne bien)

Bitbucket + Jira : traçabilité tickets ↔ commits ↔ builds (dans les pratiques d’équipe).
Standardisation : conventions pipeline par repo/workspace (templates internes).
Gouvernance : secrets masqués + runners isolés + “deployment variables”. :contentReference[oaicite:9]{index=9}

1.2 Architecture — pipelines, steps, services, images, anchors YAML

Modèle mental

bitbucket-pipelines.yml
  pipelines:
    default / branches / pull-requests / custom
      - step:
          image: ...
          caches: ...
          services: ...
          script: [...]
          artifacts: [...]

Référence : la configuration complète est documentée dans “configuration reference”. :contentReference[oaicite:10]{index=10}

Types de pipelines (pattern d’équipe)

Type	But	Quand
default	CI basique	push général
pull-requests	fast feedback	PR checks
branches	release / deploy	main / release/*
custom	run ad-hoc	ops / migration / backfill

Services (DB / Redis / etc.) — concept

Les services permettent de démarrer des conteneurs auxiliaires (ex : Postgres) accessibles depuis le step. Voir la configuration reference pour les options exactes. :contentReference[oaicite:11]{index=11}

definitions:
  services:
    postgres:
      image: postgres:16
      variables:
        POSTGRES_PASSWORD: "postgres"

Anchors YAML = DRY simple

# Exemple concept
definitions:
  steps:
    - step: &lint_test
        name: "Lint+Unit"
        image: python:3.12
        script:
          - pip install -r requirements.txt
          - ruff check .
          - pytest -q

pipelines:
  pull-requests:
    "**":
      - step: *lint_test

ROI : moins de duplication YAML, moins de drift.

1.3 bitbucket-pipelines.yml — référence, step options, exemple Django

Structure minimale

La référence officielle décrit la structure, options globales et comportements. :contentReference[oaicite:12]{index=12}

image: atlassian/default-image:4

pipelines:
  default:
    - step:
        name: "Build"
        script:
          - echo "Hello Pipelines"

Step options (caches / artifacts / etc.)

Atlassian documente les options de step, dont la gestion des artifacts (paths, download) et les patterns glob. :contentReference[oaicite:13]{index=13}

- step:
    name: "Package"
    script:
      - python -m build
    artifacts:
      - "dist/**"

Important : les artifacts servent à partager des outputs entre steps (build → deploy). :contentReference[oaicite:14]{index=14}

Exemple Django (lint + tests + report)

image: python:3.12

pipelines:
  pull-requests:
    "**":
      - step:
          name: "Lint + Unit"
          caches:
            - pip
          script:
            - pip install -U pip
            - pip install -r requirements.txt
            - ruff check .
            - pytest -q --maxfail=1
  branches:
    main:
      - step:
          name: "Build"
          caches:
            - pip
          script:
            - pip install -U pip
            - pip install -r requirements.txt
            - python -m build
          artifacts:
            - "dist/**"

Pattern : PR = fast, main = build “release-ready” (artifacts immuables).

Déploiement (deployment env)

La doc référence couvre les options associées aux déploiements, et Atlassian explique aussi les variables/secrets et leur portée (repository/deployment). :contentReference[oaicite:15]{index=15}

pipelines:
  branches:
    main:
      - step:
          name: "Deploy Staging"
          deployment: staging
          script:
            - ./deploy.sh staging
      - step:
          name: "Deploy Prod"
          deployment: production
          script:
            - ./deploy.sh production

2.1 Triggers & stratégies — fast PR, full main, nightly, custom

Stratégie “pro” (simple et efficace)

Canal	Objectif	Contenu	Durée cible
PR	fast feedback	lint + unit + smoke	3–8 min
main	release-ready	build + packaging + artifacts	5–12 min
nightly	qualité	integration + e2e + security scan	variable
custom	ops	migration/backfill	à la demande

Règle : “fast PR” réduit le coût total et augmente la vélocité (moins d’attente en review).

2.2 Caches & Artifacts — accélération + handoff build→deploy

Cache vs artifacts : ne pas confondre

Mécanisme	But	Exemples	Piège
Caches	accélérer	deps pip/npm	cache trop large
Artifacts	handoff outputs	dist/**, reports	artifacts “sales” / trop volumineux

Artifacts (partage entre steps)

Atlassian détaille l’option artifacts et les “artifact paths” via les step options. :contentReference[oaicite:16]{index=16}

- step:
    name: "Build"
    script:
      - make build
    artifacts:
      - "dist/**"
      - "reports/**"

3 quick wins

Cache deps + lockfiles (pip/poetry/npm) → baisse drastique du temps.
Artifacts = uniquement l’output utile pour deploy (pas tout le workspace).
Conserver reports tests → debug “instant”.

2.3 Pipes — intégrations réutilisables (3rd party tools)

Pipes = “bloc d’automatisation” prêt à l’emploi

Atlassian décrit les pipes comme un moyen simple de configurer des intégrations, notamment avec des outils tiers. :contentReference[oaicite:17]{index=17}

ROI : pipeline plus court + moins de scripts maison + adoption rapide par l’équipe.

Exemple (concept) : utilisation d’un pipe

- step:
    name: "Deploy via Pipe"
    script:
      - pipe: atlassian/some-pipe:1.2.3
        variables:
          VAR1: $VAR1
          VAR2: $VAR2

Référence : “Use pipes in Bitbucket Pipelines” (docs Atlassian). :contentReference[oaicite:18]{index=18}

Gouvernance supply chain (pratique)

Éviter pipes inconnus non maintenus (risque supply chain).
Pin version + review de la config (comme une dépendance code).
Limiter secrets exposés aux pipes (scope minimal).

3.1 Runners self-hosted — exécution sur ton infra (workspace/repo)

Pourquoi des runners ?

Atlassian indique que les runners permettent d’exécuter Pipelines sur ta propre infrastructure et précise que tu ne seras pas facturé des minutes de build utilisées par tes self-hosted runners. :contentReference[oaicite:19]{index=19}

Accès réseau privé (DB interne, registry privé, VPC).
Toolchains spécifiques (compliance, hardware, licences).
Contrôle OS + monitoring (entreprise).

Configurer un runner dans le YAML

Atlassian décrit comment cibler un runner dans bitbucket-pipelines.yml et mentionne aussi la parité de ressources / version runner. :contentReference[oaicite:20]{index=20}

# Exemple concept (les champs exacts dépendent de ta config runner)
- step:
    name: "Build on Runner"
    runs-on:
      - "self.hosted"
      - "linux"
      - "prod-runner"
    script:
      - ./build.sh

Notes importantes

Runners peuvent être ajoutés au niveau repo ou workspace (jusqu’à 100 selon la doc). :contentReference[oaicite:21]{index=21}
Hardening obligatoire (réseau, patching, rotation).
Éviter un runner “fourre-tout” partagé à la prod : isoler par labels/pool.

Sécurité — variables & secrets, masking, SSH keys, pratiques recommandées

Variables & secrets (Pipelines)

Atlassian décrit les variables (dont “secured variables”) et leur utilisation dans Pipelines. :contentReference[oaicite:22]{index=22}

Principe:
- variables repo/workspace/deployment
- marquer les valeurs sensibles en "secured"
- injecter via env dans les steps

Masking des variables sécurisées

Pipelines masque les variables sécurisées dans les logs : si une valeur apparaît, elle est remplacée par $VARIABLE_NAME. :contentReference[oaicite:23]{index=23}

Attention : ce masking peut faire croire “ça ne marche pas” — c’est normal, la valeur est volontairement cachée.

Pratiques recommandées (Atlassian)

Atlassian publie un article de bonnes pratiques sur la gestion des secrets : variables sécurisées, SSH keys, pratiques d’artifacts, etc. :contentReference[oaicite:24]{index=24}

Secrets uniquement au niveau nécessaire (least privilege).
Rotation périodique + audit des usages.
Éviter de faire passer des secrets via artifacts (risque de fuite).

Scopes & precedence (utile en prod)

Atlassian détaille la notion de variables de dépôt et de déploiement et leur priorité (important pour éviter collisions). :contentReference[oaicite:25]{index=25}

Pattern recommandé:
- repo variables: CI non-sensibles + defaults
- deployment variables: secrets/env spécifiques (staging/prod)
- noms clairs: STAGING_*, PROD_*

Déploiements — deployment steps, environnements, variables de déploiement

Pattern “build once, deploy many”

pipelines:
  branches:
    main:
      - step:
          name: Build
          script: ["make build"]
          artifacts: ["dist/**"]
      - step:
          name: Deploy staging
          deployment: staging
          script: ["./deploy.sh staging"]
      - step:
          name: Deploy prod
          deployment: production
          script: ["./deploy.sh production"]

Référence : artifacts/step options et configuration reference. :contentReference[oaicite:26]{index=26}

Variables de déploiement (staging/prod)

Atlassian distingue les variables de repository et de deployment (et leur priorité). :contentReference[oaicite:27]{index=27}

Ex:
- deployment: staging
  uses variables: STAGING_DB_URL, STAGING_TOKEN (secured)

- deployment: production
  uses variables: PROD_DB_URL, PROD_TOKEN (secured)

Gates (processus)

Gate “humain” (ex : validation release) : process interne + protection des secrets prod.
Runner prod dédié + isolation réseau.
Secrets prod uniquement dans “deployment variables” (pas repo variables).

Bonnes pratiques — DRY, perf, fiabilité, supply chain

Top 10 (pro)

PR = fast pipeline ; main = build + artifacts + deploy.
Artifacts pour build outputs (pas le repo complet). :contentReference[oaicite:28]{index=28}
Caches pour deps (pip/npm), key “stable” (lockfiles).
Factoriser via YAML anchors (DRY).
Utiliser Pipes pour intégrations standard (moins de scripts). :contentReference[oaicite:29]{index=29}
Secrets uniquement “secured variables” (masked). :contentReference[oaicite:30]{index=30}
Deployment variables pour prod/stage + gouvernance. :contentReference[oaicite:31]{index=31}
Runners dédiés prod (isolation). :contentReference[oaicite:32]{index=32}
Observabilité : reports tests comme artifacts, logs propres.
Revue du YAML comme du code (PR obligatoire).

Security baseline

Appliquer les recommandations Atlassian pour secrets/SSH keys/artifacts. :contentReference[oaicite:33]{index=33}
Ne jamais exposer secrets via logs (même si masqués, éviter d’imprimer).
Runner hardening + segmentation réseau.

Phrase CV-ready

Industrialisation CI/CD sur Bitbucket Pipelines : pipelines as code (bitbucket-pipelines.yml),
stratégie PR “fast” + main “release-ready”, optimisation via caches + artifacts (handoff build→deploy),
intégrations standardisées via Pipes, sécurisation par variables “secured” masquées et variables de déploiement,
et exécution hybride cloud + runners self-hosted isolés (VPC/on-prem) pour déploiements sensibles.

Migration vers Bitbucket Pipelines — mapping & checklist

Mapping conceptuel

Concept	Jenkins/Bamboo	Bitbucket Pipelines	Notes
Pipeline as code	Jenkinsfile / Plan	bitbucket-pipelines.yml	config reference :contentReference[oaicite:34]{index=34}
Agents	agents	cloud runners / self-hosted runners	runners :contentReference[oaicite:35]{index=35}
Shared libs	shared libs	Pipes + anchors YAML	pipes docs :contentReference[oaicite:36]{index=36}
Secrets	credentials store	secured variables (masked) + deployment vars	secrets/precedence :contentReference[oaicite:37]{index=37}
Artifacts	archive artifacts	artifacts step option	step options :contentReference[oaicite:38]{index=38}

Stratégie progressive (safe)

Pilote sur 1–2 repos (non critiques).
Reproduire la CI “fonctionnelle” avant d’optimiser.
Installer les conventions YAML (anchors, naming, structure).
Définir la politique secrets (repo vs deployment vars, secured).
Si besoin : déployer runners self-hosted (pool staging/prod). :contentReference[oaicite:39]{index=39}

Pièges fréquents

Artifacts trop gros / mal ciblés → pipelines lents. :contentReference[oaicite:40]{index=40}
Variables “secured” imprimées dans logs → masquées (confusion) et risque. :contentReference[oaicite:41]{index=41}
Runner prod partagé avec repos non-prod → surface d’attaque.
Pipes non contrôlés (supply chain) → pinning + review.

Checklist

Item	OK ?	Notes
Structure YAML standard (anchors + naming)	⬜
PR fast pipeline + main release pipeline	⬜
Caches deps + artifacts build outputs	⬜
Secrets: secured variables + scopes corrects	⬜
Deployment vars staging/prod + governance	⬜
Runners: pools isolés + hardening	⬜
Pipes: pin versions + approved list	⬜

Liens officiels Bitbucket Pipelines (Atlassian)

Docs Atlassian (Bitbucket Cloud)

Tip IDEO-Lab : mets en avant “Runners (no build minutes)” + “masking des secrets” = très enterprise. :contentReference[oaicite:42]{index=42}

Cheat-sheet Bitbucket Pipelines (TL;DR + CV-ready)

TL;DR

Bitbucket Pipelines = CI/CD Atlassian basé sur YAML (bitbucket-pipelines.yml) :contentReference[oaicite:43]{index=43}
- pipelines (default/branches/PR/custom) → steps
- step options: artifacts/caches/... :contentReference[oaicite:44]{index=44}
- secrets: secured variables masquées dans les logs :contentReference[oaicite:45]{index=45}
- Pipes = intégrations réutilisables :contentReference[oaicite:46]{index=46}
- Runners self-hosted sur ton infra (pas facturé en minutes de build) :contentReference[oaicite:47]{index=47}

Phrase “CV-ready”

Industrialisation CI/CD sur Bitbucket Pipelines : pipelines as code (YAML), stratégie PR fast + main release-ready, optimisation via caches/artifacts (handoff build→deploy), intégrations via Pipes, sécurisation par variables “secured” masquées et variables de déploiement, et exécution hybride cloud + runners self-hosted isolés (VPC/on-prem) pour déploiements sensibles.

🧩 Bitbucket Pipelines — CI/CD Atlassian

Vue d’ensemble

Architecture & concepts

bitbucket-pipelines.yml

Triggers & stratégies

Caches & Artifacts

Pipes

Runners self-hosted

Sécurité & secrets

Déploiements

Bonnes pratiques

Migration (Jenkins/Bamboo/GHA)

Liens & docs

Cheat-sheet