Aller au contenu principal

Concepts clés

Qu'est-ce qu'Endpoint Protection ?

GitGuardian Developer Endpoint Protection étend la sécurité des secrets aux postes de travail des développeurs. Les identifiants s'accumulent dans l'historique du shell, les fichiers de configuration, les caches d'IDE, les stockages de navigateurs, ainsi que dans les fichiers et caches que les agents de code IA créent sur le système de fichiers local — des endroits hors de portée des scanners de dépôts et des contrôles CI. Endpoint Protection découvre ces identifiants sur la machine où ils résident.

Pourquoi c'est important

En tant que responsable sécurité ou plateforme, vous scannez généralement déjà les dépôts et la CI. Endpoint Protection répond à des questions auxquelles ces couches ne peuvent pas répondre :

  • Quels identifiants se trouvent actuellement sur les ordinateurs portables des développeurs ?
  • Quelles machines ont été scannées récemment, et lesquelles ne l'ont jamais été ?
  • Après une compromission, qu'y avait-il sur une machine donnée, classé par sévérité ?

Ce qu'il fait

Scan de machine — Découvre récursivement les identifiants en clair sur l'ensemble du système de fichiers local, y compris les fichiers de configuration, les dotfiles, les logs, les caches d'IDE et les données de navigateurs. Les résultats sont remontés dans l'inventaire GitGuardian, où chacun est évalué par sévérité et portée d'accès, et peut ensuite être transmis à votre SOC, SIEM ou SOAR.

Diffusion de Honeytokens sur les endpoints — Déploie des identifiants leurres directement sur les machines des développeurs. Toute tentative d'utilisation déclenche une alerte en temps réel, transformant chaque endpoint en fil-piège pour les infostealers et les mouvements latéraux.

Hooks IA — Garde-fous intégrés à Claude Code, Cursor, Copilot et autres agents de code pour les empêcher de lire, copier ou transmettre des secrets entre fichiers, outils et conversations — le vecteur de fuite à la croissance la plus rapide dans les workflows de développement modernes.

Inventaire local des agents et MCP — Visibilité sur les agents IA et serveurs MCP qui s'exécutent sur chaque endpoint, sur les données et outils auxquels ils peuvent accéder, et sur leur utilisation.

Fonctionnement du scan

ggshield exécute le scan localement sur l'endpoint. Les résultats sont téléversés vers votre dashboard GitGuardian (SaaS ou Self-Hosted) pour une visibilité centralisée.

Ce qui est envoyé à GitGuardian : le hash du secret, pas la valeur du secret. GitGuardian stocke les métadonnées et le contexte autour du résultat — pas l'identifiant lui-même. Les documents sources du système de fichiers ne sont jamais transmis aux serveurs de GitGuardian.

Vérification de fuite publique : les secrets sont hashés localement à l'aide du protocole HasMySecretLeaked (HMSL) de GitGuardian et comparés à la base de données GitGuardian des secrets connus comme fuités. La valeur du secret n'est jamais transmise.

Vérifications de validité : pour les secrets actifs (clés AWS, tokens GitHub, etc.), ggshield appelle directement l'API du fournisseur depuis l'endpoint pour vérifier la validité et récupérer des métadonnées telles que les scopes et le propriétaire. Cet appel transite de l'endpoint vers le fournisseur tiers — et non par les serveurs de GitGuardian.

Ce qui est scanné

Le moteur effectue un parcours complet du système de fichiers, couvrant tout fichier susceptible de contenir un secret :

  • Fichiers d'historique du shell (.zsh_history, .bash_history, etc.)
  • Fichiers de configuration (.env, .gitconfig, .npmrc, configurations SSH, fichiers d'identifiants)
  • Stockages d'identifiants cloud (par exemple ~/.aws, caches CLI GCP ou Azure)
  • Caches et historiques des agents de code IA (Cursor, Claude Code, Copilot, configurations MCP, etc.)
  • Répertoires temporaires et stockage des navigateurs
  • Fichiers de données structurées (CSV, SQL, XLSX, PDF, SQLite)
  • Archives (.zip, .jar, .war, .ear) et fichiers compressés (.gz, .bz2, .xz, .zst)
  • Tout fichier correspondant à des motifs associés à des secrets (clés d'API, tokens, certificats, clés privées)

Les équipes sécurité peuvent définir des listes d'exclusion pour exclure des répertoires ou types de fichiers spécifiques du périmètre de scan.

remarque

Le scan de machine se concentre sur l'accumulation d'identifiants sur l'ensemble du système de fichiers et ne se limite pas aux dépôts Git.

Plateformes prises en charge

PlateformeArchitectureStatut
macOS (postes de travail)arm64 (M1/M2/M3/M4), x86_64✅ Entièrement pris en charge
Linux (postes de travail)arm64, x86_64✅ Entièrement pris en charge
Windows (postes de travail)x86_64✅ Entièrement pris en charge
Serveurs Linux (RHEL, Debian, Ubuntu)arm64, x86_64🚧 Beta
Windows Server (2022 & 2025)x86_64🚧 Beta
Dernière mise à jour le

Il manque quelque chose ?

Voir notre feuille de route

S'abonner sur GitHub

Soumettre une demande

Statut de l’API