Aller au contenu principal

Concepts fondamentaux

Qu'est-ce que Endpoint Protection ?

GitGuardian Developer Endpoint Protection étend la sécurité des secrets aux postes de travail des développeurs. Les identifiants s'accumulent dans l'historique du shell, les fichiers de configuration, les caches des IDE, les stockages de navigateurs, ainsi que dans les fichiers et caches que les agents de codage IA créent sur le système de fichiers local — autant d'endroits hors de portée des scanners de dépôts et des contrôles de CI. Endpoint Protection découvre ces identifiants sur la machine où ils se trouvent.

Pourquoi c'est important

En tant que responsable sécurité ou plateforme, vous scannez généralement déjà les dépôts et la CI. Endpoint Protection répond à des questions auxquelles ces couches ne peuvent pas répondre :

  • Quels identifiants se trouvent actuellement sur les laptops des développeurs ?
  • Quelles machines ont été scannées récemment, et lesquelles ne l'ont jamais été ?
  • Après une compromission, qu'y avait-il sur une machine donnée, classé par sévérité ?

Ce qu'il fait

Scan de machine — Découvre récursivement les identifiants en clair sur le système de fichiers local, y compris les fichiers de configuration, les dotfiles, les logs, les caches d'IDE et les données de navigateur. Les résultats sont remontés vers l'inventaire GitGuardian, où chacun est noté en fonction de sa sévérité et de son périmètre d'accès, puis peut être transmis à votre SOC, SIEM ou SOAR.

Diffusion de Honeytokens sur les endpoints — Déploie des identifiants leurres directement sur les machines des développeurs. Toute tentative d'utilisation déclenche une alerte en temps réel, transformant chaque endpoint en piège pour les infostealers et les mouvements latéraux.

Hooks IA — Garde-fous intégrés à Claude Code, Cursor, Copilot et autres agents de codage pour les empêcher de lire, copier ou transmettre des secrets entre fichiers, outils et conversations — le vecteur de fuite à la croissance la plus rapide dans les workflows de développement modernes.

Inventaire local des agents et MCP — Visibilité sur les agents IA et serveurs MCP qui s'exécutent sur chaque endpoint, sur les données et outils auxquels ils peuvent accéder, ainsi que sur leur utilisation.

Comment fonctionne le scan

ggshield exécute le scan localement sur l'endpoint. Les résultats sont remontés vers votre dashboard GitGuardian (SaaS ou Self-Hosted) pour une visibilité centralisée.

Ce qui est envoyé à GitGuardian : le hash du secret, pas la valeur du secret. GitGuardian stocke les métadonnées et le contexte autour du résultat — pas l'identifiant lui-même. Les documents sources issus du système de fichiers ne sont jamais transmis aux serveurs de GitGuardian.

Vérification des fuites publiques : les secrets sont hachés localement à l'aide du protocole HasMySecretLeaked (HMSL) de GitGuardian et comparés à la base de données des secrets connus comme fuités de GitGuardian. La valeur du secret n'est jamais transmise.

Vérifications de validité : pour les secrets actifs (clés AWS, tokens GitHub, etc.), ggshield appelle directement l'API du fournisseur depuis l'endpoint pour vérifier la validité et récupérer des métadonnées telles que les scopes et le propriétaire. Cet appel va de l'endpoint vers le fournisseur tiers — il ne passe pas par les serveurs de GitGuardian.

Plateformes prises en charge

PlateformeArchitectureStatut
macOS (postes de travail)arm64 (M1/M2/M3/M4), x86_64✅ Entièrement pris en charge
Linux (postes de travail)arm64, x86_64✅ Entièrement pris en charge
Windows (postes de travail)x86_64✅ Entièrement pris en charge
Serveurs Linux (RHEL, Debian, Ubuntu)arm64, x86_64🚧 Beta
Windows Server (2022 & 2025)x86_64🚧 Beta