Aller au contenu principal

Intégrer Azure DevOps

Surveillez les dépôts Azure DevOps à la recherche de secrets exposés dans les fichiers source, fichiers de configuration et historiques de commits.

Pourquoi surveiller Azure DevOps ?

Les dépôts Azure DevOps sont profondément intégrés aux services Azure, à Microsoft 365 et aux systèmes Active Directory d'entreprise. Lorsque les développeurs commitent des credentials ou des secrets de service connections, ils risquent d'exposer non seulement des applications individuelles mais des infrastructures cloud entières, accordant potentiellement aux attaquants l'accès à des ressources Azure de production et à des données d'entreprise sensibles.

Capacités

FonctionnalitéSupportDétails
Analyse historique✅ (Pris en charge)Analyse complète de l'historique du dépôt
Détection en temps réel✅ (Pris en charge)Détection instantanée via webhooks
Périmètre surveillé✅ (Pris en charge)Surveillance granulaire de vos Orgs et dépôts
Périmètre d'équipe✅ (Pris en charge)Contrôle d'accès basé sur l'équipe
Vérification de présence✅ (Pris en charge)Vérifier si les secrets sont toujours accessibles
Pièces jointes❌ (Non pris en charge)Non applicable pour les dépôts de code

Ce que nous analysons :

  • Fichiers de code source, fichiers de configuration et fichiers texte brut
  • Toutes les branches du dépôt et l'historique des commits

Configuration

Prérequis :

  • Compte Owner ou Manager sur votre Dashboard GitGuardian
  • Permissions Azure DevOps admin ou project admin pour les organisations que vous voulez surveiller
  • Connectivité réseau entre GitGuardian et vos services self-hosted. Découvrez GitGuardian Bridge pour permettre des connexions sécurisées entre GitGuardian SaaS et vos services self-hosted dans des réseaux privés.

GitGuardian peut s'intégrer à Azure Repos de deux façons différentes : au niveau de l'instance ou au niveau de l'organisation/collection.

remarque

Dans Azure Repos, les termes Organization et Collection font référence au même concept selon la version de votre Azure DevOps. Dans le dashboard GitGuardian, nous utilisons le terme Organization car il est le plus courant, mais ne soyez pas gêné si vous avez Collection dans votre instance Azure Repos.

L'intégration Azure DevOps Repos nécessite un personal access token pour que GitGuardian puisse accéder à vos organisations/collections Azure Repos pour analyse.

attention

Pour activer une analyse en temps réel fonctionnelle de vos projets et dépôts, le propriétaire du personal access token doit être soit Organization admin, soit Project administrator pour tous les projets de votre organisation. Cela peut être accompli en étant ajouté au groupe Project Collection Administrators de l'organisation.

Créer un Personal Access Token

astuce

Nous recommandons fortement d'utiliser un utilisateur bot pour générer les personal access tokens.

  1. Allez dans la section "User setting" sur Azure DevOps.
  2. Pour Azure Repos Service, plongez dans la section "Personal access tokens" et créez un nouveau token. Pour Azure Repos Server, vous devez d'abord plonger dans "Security", puis sélectionner la page Personal access tokens dans la barre latérale gauche.
  3. Définissez un nom (ex : "gitguardian").
  4. Sélectionnez si vous voulez fournir l'accès pour l'organisation actuelle ou pour toute l'instance.
  5. IMPORTANT : vous devez cocher le scope Read pour Code et Graph (cliquez sur le lien 'Show all scopes' pour afficher ce scope).
    Le scope Graph:Read est utilisé à des fins de facturation car il nous permet de regarder les utilisateurs, les groupes et leurs adhésions.
  6. Nous recommandons de définir la date d'expiration à 1 an, c'est le maximum autorisé.
attention

Azure DevOps a une limite de 1 an maximum pour la validité d'un token. Cela signifie que vous devrez renouveler le token si vous voulez maintenir l'intégration opérationnelle.

Le personal token permet à GitGuardian d'accéder à vos dépôts via vos permissions Azure DevOps.

Azure Repos personal access token Code

Cliquez sur le lien 'Show all scopes' pour afficher le scope pour Graph.

Azure Repos personal access token show all scopes

Azure Repos personal access token Graph

attention

Cette intégration ne surveille pas les dépôts désactivés. Si vous incluez des dépôts désactivés dans votre périmètre, ils ne seront pas vérifiés et apparaîtront avec le statut Unknown.

Azure Repos disabled repo

Veuillez vous référer à la documentation Azure DevOps pour plus d'informations sur les personal access tokens.

Intégration au niveau de l'instance

Ce mode d'intégration surveillera automatiquement tous les projets et dépôts de l'instance. Lorsqu'un nouveau projet ou un nouveau dépôt est créé sur une organisation quelconque, il sera automatiquement inclus dans le périmètre par GitGuardian.

Prérequis

  • Azure DevOps Service ou Azure DevOps Server self-managed : version compatible minimum garantie 2019
  • Un personal access token avec le scope Read pour "Code" et "Graph".

Directives

  1. Naviguez vers Settings > Integrations > Sources.
  2. Cliquez sur Configure pour Azure Repos.
  3. Cliquez sur Start pour l'option au niveau de l'instance : "Monitor the entire Azure Repos instance"
    Azure Repos installation selection
  4. Soumettez l'URL de votre instance Azure Repos et le personal access token créé.
    Azure Repos token form
    attention

    L'URL de l'instance Azure doit être préfixée par https://, les instances sans connexion sécurisée ne seront pas surveillées. L'URL utilisée doit être de type scheme+basename (ex : https://azuredevops.gitguardian.example).

  5. GitGuardian commencera à analyser votre instance Azure Repos. Vous pouvez voir les projets et dépôts surveillés dans votre page paramètres Azure Repos en cliquant sur See my Azure Repos perimeter.

Dépannage

  • Vous pouvez soumettre de nouveaux personal access tokens si vous voulez surveiller plus d'instances Azure Repos.
  • GitGuardian détecte automatiquement si le Personal access token devient invalide (en expirant ou en étant révoqué) et enverra un email pour vous notifier. Toutes vos données existantes resteront accessibles.
  • Si vous avez beaucoup de dépôts, ils peuvent prendre un certain temps à apparaître sur votre périmètre.

Intégration au niveau de l'organisation

Cette intégration ne surveillera que les organisations que vous sélectionnez. Lorsqu'un nouveau projet est ajouté à une organisation surveillée, il sera automatiquement ajouté au périmètre. Cependant, les nouvelles organisations ajoutées à l'instance Azure Repos ne seront pas automatiquement incluses dans le périmètre GitGuardian.

Notez que vous ne pouvez pas avoir une intégration au niveau de l'instance et une intégration au niveau de l'organisation en même temps.

Prérequis

  • Azure DevOps Service ou Azure DevOps Server/Data Center self-managed : version compatible minimum garantie 2019
  • Un personal access token avec le scope Read pour "Code".

Directives

  1. Naviguez vers Settings > Integrations > Sources.
  2. Cliquez sur Configure pour Azure Repos.
  3. Cliquez sur Start pour l'option au niveau de l'instance : "Monitor certain Azure Repos organizations only"
    Azure Repos installation selection
  4. Soumettez l'URL de votre instance Azure DevOps et le personal access token créé. Si vous souhaitez n'installer qu'une seule organisation, soumettez également le nom de cette organisation.
    Azure Repos token form
    attention

    L'URL de l'instance Azure doit être préfixée par https://, les instances sans connexion sécurisée ne seront pas surveillées. L'URL utilisée doit être de type scheme+basename (ex : https://azuredevops.gitguardian.example).

  5. GitGuardian affichera l'organisation disponible pour surveillance.
    En cliquant sur Install, GitGuardian accédera à l'organisation et analysera le contenu des dépôts.
    ADO install form
  6. Vous pouvez voir les projets et dépôts surveillés dans votre page paramètres Azure Repos en cliquant sur See my Azure Repos perimeter :

Dépannage

  • Vous pouvez soumettre de nouveaux personal access tokens si vous voulez surveiller plus d'instances ou d'organisations Azure Repos.
  • GitGuardian détecte automatiquement si le Personal access token devient invalide (en expirant ou en étant révoqué) et enverra un email pour vous notifier. Toutes vos données existantes resteront accessibles.
  • Si vous avez beaucoup de dépôts, ils peuvent prendre un peu de temps à apparaître sur votre périmètre.
  • Si l'utilisateur Azure DevOps associé au personal access token utilisé pour l'intégration n'a pas les permissions suffisantes pour la surveillance en temps réel des projets, une icône visuelle sera affichée à côté du projet. Cette icône indique que le projet fait toujours partie de votre périmètre et peut être analysé manuellement, mais qu'il ne peut pas être surveillé en temps réel.

No real-time

Faire tourner/Remplacer un Personal Access Token

Dans Azure Repos, la durée de vie maximale d'un Personal Access Token est de 365 jours, et il n'y a pas d'option pour étendre cette durée. De plus, mettre à jour les scopes d'un Personal Access Token nécessite d'en créer un nouveau ; il ne peut pas être modifié directement. Par conséquent, il est nécessaire de remplacer votre Personal Access Token au moins une fois par an pour continuer à scanner vos dépôts avec GitGuardian.

Pour minimiser les perturbations, nous recommandons :

  1. Générer un nouveau Personal Access Token dans Azure DevOps avant l'expiration de l'actuel.
  2. Ajouter ce Personal Access Token nouvellement créé à la liste des tokens dans GitGuardian.
  3. Seulement après avoir terminé les étapes 1 et 2, supprimer l'ancien Personal Access Token.

Cela garantit une transition transparente, permettant au nouveau Personal Access Token de prendre le relais en cas d'expiration ou de suppression du token actuel, maintenant ainsi la fonctionnalité de votre intégration.

attention

Pour les installations au niveau de l'organisation, le nouveau Personal Access Token devrait avoir les mêmes permissions. Le non-respect de cela peut entraîner un accès incomplet à certaines Organisations. GitGuardian continuera à surveiller les organisations accessibles et désinstallera celles qui ne sont plus joignables.

Analyse historique automatique

Par défaut, GitGuardian effectue une analyse historique pour chaque nouveau dépôt Azure Repos ajouté à votre périmètre.

Vous pouvez désactiver ce comportement dans vos paramètres Azure Repos si vous êtes Manager du workspace.

Autoscan settings

Surveillance automatique des dépôts

Par défaut, GitGuardian surveille automatiquement les dépôts ajoutés à votre périmètre.

Vous pouvez désactiver ce comportement dans vos paramètres Azure Repos si vous êtes Manager du workspace.

Comprendre les capacités d'analyse

Analyse historique

Découvrir votre dette de secrets : lors de votre première intégration de cette source, GitGuardian effectue une analyse complète de tout votre historique de contenu, basée sur votre périmètre personnalisé. Cela révèle les secrets qui peuvent avoir été exposés il y a des semaines, des mois, voire des années — vous aidant à traiter votre dette de sécurité existante.

Analyse en temps réel

Détectez instantanément les nouvelles expositions : une fois intégré, GitGuardian surveille en continu votre contenu via une détection basée sur les événements. Tout contenu nouveau ou modifié contenant des secrets est détecté immédiatement, vous permettant de réagir rapidement aux nouvelles expositions.

Personnaliser votre périmètre surveillé

Une fois votre intégration Azure Repos configurée, vous avez la possibilité de configurer quels projets et dépôts surveiller dans la section paramètres Azure Repos de votre workspace.

ADO perimeter

Si vous désélectionnez un dépôt de votre périmètre surveillé, GitGuardian ne recevra aucun commit pour vos futures analyses.

Dernière mise à jour le

Il manque quelque chose ?

Voir notre feuille de route

S'abonner sur GitHub

Soumettre une demande

Statut de l’API