Aller au contenu principal

ggscout pour les installations Self-Hosted

Le déploiement GitGuardian Self-Hosted est livré avec un Helm chart prêt à l'emploi que vous pouvez utiliser pour déployer ggscout aux côtés de votre instance Self-Hosted. La procédure suivante vous aide à déployer et configurer ggscout.

Aucun secret ne sort de votre environnement !

Les valeurs des secrets ne quittent jamais votre environnement en clair !

Les valeurs des secrets sont hachées avec l'algorithme de hachage HMSL avant d'être envoyées à votre instance GitGuardian Self-Hosted. D'autres métadonnées non sensibles comme les noms des secrets, les chemins dans le coffre, la date de création, la durée de bail, etc. sont également collectées pour vous aider dans le processus de remédiation.

Trouvez les instructions pour exécuter ggscout en mode audit pour examiner ce qui est envoyé à GitGuardian.

ggscout fonctionne également en mode Airgap. Suivez la documentation Airgap pour vous assurer que toutes les images nécessaires sont disponibles dans votre registre privé.

Installation Helm

  1. Créez un Service Account Token dans GitGuardian

    Naviguez vers Settings > Service accounts et générez un token avec les permissions NHI. Scout SAT

  2. Créez un secret Kubernetes pour stocker le SAT GitGuardian et les jetons d'authentification de vos sources (par ex. token Hashicorp Vault, ...)

    Pour créer ou mettre à jour les secrets, utilisez directement l'API Secrets de Kubernetes. Créez secrets.yaml avec le contenu suivant (en remplaçant les valeurs par vos secrets) :

    apiVersion: v1
    kind: Secret
    metadata:
      name: gitguardian-ggscout-secrets
    stringData:
        GITGUARDIAN_API_KEY: "my_gitguardian_api_key"
        HASHICORP_VAULT_TOKEN: "my_vault_token"

    Pour appliquer les secrets à votre cluster/namespace, exécutez la commande suivante : kubectl apply -f secrets.yaml -n <namespace>

  3. Configurez ggscout dans le fichier de valeurs Helm de Self-Hosted

    ggscout est un sous-chart du chart GitGuardian Self-Hosted. Toute la configuration de ggscout se fait sous ggscout. Suivez la documentation sur https://github.com/GitGuardian/ggscout-helm-charts.

    L'endpoint GitGuardian est calculé automatiquement à partir de votre instance courante, mais vous pouvez l'exécuter dans un autre namespace et préciser l'endpoint GitGuardian. Mettez à jour votre fichier de valeurs Helm avec les étapes de configuration suivantes :

    Utilisez les exemples fournis dans le dépôt GitHub Scout.

    Si vous déployez sur un cluster OpenShift, consultez Installation OpenShift.

    Exemple avec Hashicorp Vault :

    ggscout:
      enabled: true # to activate the ggscout sub-chart
      inventory:
        config:
          sources:
            hashicorpvault: # example of Hashicorp vault secrets collector
              type: hashicorpvault
              vault_address: https://vault.example.com # Replace with the actual Vault address
              auth:
                auth_mode: "token"
                token: "${HASHICORP_VAULT_TOKEN}"
              fetch_all_versions: false # Fetch all versions of secrets or not
          gitguardian: # Pushes the inventory to the GitGuardian workspace. If the endpoint is empty, it will not push the inventory details.
            endpoint: 'https://<GitGuardian-url>/exposed/v1' # optional; if not specified, the current self-hosted GitGuardian instance URL will be used
            api_token: "${GITGUARDIAN_API_KEY}"
        jobs:
          # Job to fetch defined sources
          fetch:
            enabled: true
            schedule: '*/15 * * * *'
            send: true # send hashed secrets to GitGuardian
          # Job to be able to sync/write secrets from GitGuardian into you vault
          sync:
            enabled: true
            schedule: '* * * * *'
      envFrom:
      - secretRef:
          name: gitguardian-ggscout-secrets

  4. Utilisez la commande helm upgrade et précisez la même version que celle actuellement installée pour éviter une mise à jour involontaire vers la dernière version.

    Pour trouver le nom de la release et la version actuellement installée, utilisez helm ls :

    helm ls
    NAME             UPDATED             STATUS  	CHART                	APP VERSION
    <release-name>   2025-03-20 12:40    deployed	gitguardian-2025.3.0	2025.3.0

    Ici, la version installée est 2025.3.0. Pour installer ggscout, exécutez la commande suivante en utilisant la version installée dans votre environnement :

    helm upgrade <release-name> -n <namespace> oci://registry.replicated.com/gitguardian/gitguardian --version 2025.3.0 -f local-values.yaml

    Remplacez <release-name> par le nom utilisé lors de l'installation initiale. Si nécessaire, précisez le namespace Kubernetes avec -n (le namespace par défaut est utilisé sinon).

Installation KOTS

  1. Créez un Service Account Token dans GitGuardian

    Naviguez vers Settings > Service accounts et générez un token avec les permissions NHI. Scout SAT

  2. Activez et configurez ggscout dans la console d'administration KOTS.

    Actuellement, la seule source disponible est HashiCorp Vault. Si vous souhaitez configurer d'autres sources, contactez support@gitguardian.com.

    Scout KOTS Configuration

Dernière mise à jour le

Il manque quelque chose ?

Voir notre feuille de route

S'abonner sur GitHub

Soumettre une demande

Statut de l’API