Aller au contenu principal

Intégrer JFrog Container Registry

Sécurisez vos applications conteneurisées en surveillant JFrog Container Registry pour détecter les secrets exposés dans les images de conteneurs et les artefacts de build.

astuce

Vous cherchez à scanner des artefacts non-conteneurs tels que des packages npm, Maven ou PyPI ? Consultez l'intégration JFrog Package Registries.

Pourquoi surveiller JFrog Container Registry ?

JFrog Container Registry sert de référentiel d'entreprise pour les images de conteneurs prêtes pour la production de votre organisation. Ces images contiennent souvent des identifiants de bases de données de production, des clés API d'entreprise et des tokens de service interne qui, lorsqu'ils sont exposés, peuvent compromettre des applications business critiques et fournir un accès non autorisé à des systèmes propriétaires et à des données clients sensibles.

Capacités

FonctionnalitéPrise en chargeDétails
Scan historique✅ (Pris en charge)Analyse les images existantes et leurs couches
Scan incrémental✅ (Pris en charge)Scan régulier planifié pour le nouveau contenu
Périmètre surveillé✅ (Pris en charge)Surveillance granulaire de vos repositories
Périmètre d'équipe✅ (Pris en charge)Contrôle d'accès basé sur les équipes
Vérification de présence❌ (Non pris en charge)Toutes les occurrences sont considérées comme présentes
Visibilité de la source❌ (Non pris en charge)Toutes les sources sont considérées comme privées
Pièces jointesN/ANon applicable pour les registres de conteneurs

Ce que nous scannons :

  • Toutes les couches d'images de conteneurs
  • Dockerfiles et configurations de build
  • Variables d'environnement dans les métadonnées d'images
info

Cette intégration scanne automatiquement vos repositories surveillés, en téléchargeant les images de conteneurs, ce qui peut entraîner des coûts de bande passante. Pour optimiser les coûts et réduire les faux positifs, sélectionnez soigneusement les sources à surveiller et utilisez notre fonctionnalité d'exclusion de chemin de fichier.

info

Exigences de plan : disponible pour les plans GitGuardian Business et Enterprise. Essayez-le gratuitement avec un essai de 30 jours - tous les incidents détectés restent accessibles après la fin de l'essai.
Couverture des détecteurs : pour minimiser les faux positifs, Generic High Entropy Secret et Generic Password sont désactivés. Tous les autres détecteurs sont activés.

Configurer votre intégration JFrog Container Registry

Prérequis :

  • Compte Owner ou Manager sur votre tableau de bord GitGuardian
  • Permissions admin JFrog pour créer des Access Tokens dans votre instance JFrog
  • Connectivité réseau entre GitGuardian et vos services self-hosted. Découvrez GitGuardian Bridge pour permettre des connexions sécurisées entre GitGuardian SaaS et vos services self-hosted dans des réseaux privés.

GitGuardian s'intègre à JFrog Container Registry via un Access Token avec un accès en lecture seule à vos repositories.

Vous pouvez installer GitGuardian sur plusieurs instances JFrog Container Registry pour surveiller vos repositories.

  1. Assurez-vous d'être connecté en tant qu'administrateur dans votre Plateforme JFrog

  2. Allez dans Administration > User Management > Access Tokens

  3. Cliquez sur Generate Token JFrog Platform Access Tokens page

  4. Tapez une description (par exemple : GitGuardian)

  5. Sélectionnez Group comme Token scope

  6. Sélectionnez readers comme Groups

  7. Décochez All et sélectionnez Artifactory comme Service

  8. Cliquez sur Generate JFrog Platform Generate Token modal

  9. Récupérez le Username et copiez le Token JFrog Platform Token value modal

  10. Dans la plateforme GitGuardian, accédez à la page Sources integration

  11. Cliquez sur Install à côté de JFrog Container Registry dans la section Container registries JFrog Container Registry install button

  12. Cliquez sur Install sur la page JFrog Container Registry integration

  13. Tapez votre JFrog Container Registry instance URL (par exemple : https://acme.jfrog.io/)

  14. Collez votre Personal access token

  15. Tapez le Username associé (par exemple : admin@acme.com)

  16. Cliquez sur Add JFrog Container Registry integration

  17. Personnalisez votre périmètre surveillé :

    • Surveiller des repositories JFrog Container Registry spécifiques (Recommandé)
      • Aucun repository n'est surveillé par défaut, vous devrez les sélectionner manuellement.
      • Les repositories nouvellement créés ne seront pas surveillés par défaut. Vous pouvez ajuster ce paramètre à tout moment.
      • Recommandé pour optimiser vos coûts de bande passante.
    • Surveiller l'ensemble de l'instance JFrog Container Registry
      • Tous les repositories sont surveillés par défaut avec un scan historique complet déclenché automatiquement.
      • Les repositories nouvellement créés seront surveillés par défaut. Vous pouvez ajuster ce paramètre à tout moment.

    JFrog Container Registry Default Monitored Perimeter

C'est tout ! Votre instance JFrog Container Registry est maintenant installée, et GitGuardian surveille toutes les images Docker de vos repositories sélectionnés à la recherche de secrets.

Personnaliser votre périmètre surveillé

Pour personnaliser les repositories surveillés, accédez à vos paramètres JFrog Container Registry.

  1. Sélectionnez/désélectionnez les repositories pour les inclure ou les exclure de la surveillance
  2. Confirmez en cliquant sur Update monitored perimeter JFrog Container Registry Custom Monitored Perimeter

Surveillance automatique des repositories

Vous pouvez activer ou désactiver l'ajout automatique des repositories nouvellement créés à votre périmètre surveillé en basculant l'option dans vos paramètres JFrog Container Registry. JFrog Artifactory Automatic Repository Monitoring

Désinstaller votre instance JFrog Container Registry

Pour désinstaller une instance JFrog Container Registry :

  1. Dans la plateforme GitGuardian, accédez à la page Sources integration
  2. Cliquez sur Edit à côté de JFrog Container Registry dans la section Container registries
  3. Cliquez sur l'icône corbeille à côté de l'instance JFrog Container Registry à désinstaller
  4. Confirmez en cliquant sur Yes, uninstall dans la fenêtre de confirmation JFrog Container Registry uninstall

C'est tout ! Votre instance JFrog Container Registry est maintenant désinstallée.

Chemins exclus

GitGuardian exclut automatiquement les fichiers de l'analyse si leurs chemins contiennent l'une de ces expressions régulières :

/__pypackages__/
/\.venv/
/\.tox/
/site-packages/
/venv/
distutils/command/register\.py
python.*/awscli/examples/
python.*/dulwich/(tests|contrib/test_)
python.*/hgext/bugzilla\.py
python.*/mercurial/util\.py
python.*/test/certdata/
python.*/urllib/request\.py
python.*/pygments/lexers/
/cryptography.+/tests/.+(fixtures|test)_.+\.py
/python.+pygpgme.+/tests/
botocore/data/.+/(examples|service)-.+\.json
usr(/local)?/lib/python.+/dist-packages
/libevent.+/info/test/test/
/conda-.+-py.+/info/test/tests.+/test_.+\.py
/python[^/]+/test/
/man/man5/kdc\.conf\.5
erlang.*(inets|ssl).*/examples/
/gems/.*httpclient.*/(test|sample)/
/gems/.*faraday.*/
/vendor/bundle/
/\.gem/
ruby-[^/]+/test/openssl/
/(g|G)o/src/cmd/go/internal/.*_test\.go
/(g|G)o/src/cmd/go/internal/.*/testdata/
/(g|G)o/src/cmd/go/testdata/
/(g|G)o/src/crypto/x509/platform_root_key\.pem
/(G|g)o/src/crypto/(tls|x509)/.*_test\.go
/(g|G)o/src/net/(url|http)/.*_test\.go
src/github.com/DataDog/datadog-agent/.*test.*\.go
google/internal/.*_test\.go
golang.org.*oauth2@.*/.*\.go
/flutter/.*/packages/flutter_tools/test/data/
/flutter/.*/examples/image_list/lib
/\.pub-cache
etc/ssl/private/ssl-cert-snakeoil\.key
perl.*Cwd\.pm
ansible/.*/tests/(integration|unit)/
ansible/.*/test/awx
ansible/collections/ansible_collections/.*/plugins/
/curl/.*/(tests|docs|lib/url\.c)
/doc/wget.+/NEWS
dist/awscli/examples/
usr(/local)?/lib/aws-cli/examples/
/google-cloud-sdk/(lib|platform)/
\.git/modules/third[-_]?party/
\.git/modules/external/
/\.npm/_cacache
/node_modules/
/\.parcel-cache/
/\.yarn/cache/
/\.m2/
/\.ivy2/cache/
/\.mix/
/\.hex/
/composer/cache/
/\.nuget/packages/
/libgpg-error/errorref\.txt
/Homebrew/Library/Taps/
/tcl[^/]+/http-.+\.tm
/tcl[^/]+/[^/]+/http-.+\.tm
usr/share/lua/[^/]+/posix/init\.lua
openssl/openssl-[^/]+/test/recipes/
usr/share/doc/libssl-doc/demos/
boringssl/src/third_party/[^/]+test[^/]+/[^/]+_test\.json

Considérations supplémentaires Self-Hosted

Pour les instances GitGuardian Self-Hosted, la fréquence de scan peut être configurée dans l'Admin Area :

  • Unité d'intervalle de temps : secondes
  • Valeur par défaut : 86400 (1 jour)
  • Valeur minimale : 1800 (30 minutes)

Confidentialité

Les lois et réglementations spécifiques à chaque pays peuvent vous obliger à informer vos utilisateurs que vos repositories sont scannés à la recherche de secrets. Voici une suggestion de message que vous pouvez utiliser :

Dans le cadre de notre processus interne de sécurité de l'information, l'entreprise scanne ses repositories à la recherche de fuites potentielles de secrets en utilisant GitGuardian. Toutes les données collectées seront traitées dans le but de détecter d'éventuelles fuites. Pour en savoir plus sur la façon dont nous gérons vos données personnelles et exercer vos droits, veuillez vous référer à notre notice de confidentialité employé/partenaire. Veuillez noter que seuls les repositories relatifs à l'activité et au business de l'entreprise peuvent être surveillés et que les utilisateurs doivent s'abstenir de partager des données personnelles ou sensibles non pertinentes pour l'objectif du repository.

Dernière mise à jour le

Il manque quelque chose ?

Voir notre feuille de route

S'abonner sur GitHub

Soumettre une demande

Statut de l’API