Aller au contenu principal

Intégrer Bitbucket Data Center/Server

Surveillez les dépôts Bitbucket Data Center/Server à la recherche de secrets exposés dans les fichiers source, fichiers de configuration et historiques de commits.

Pourquoi surveiller Bitbucket Data Center/Server ?

Les installations Bitbucket Data Center/Server hébergent le code source et la propriété intellectuelle les plus critiques de votre organisation. Lorsque les développeurs commitent des secrets en dur dans ces dépôts d'entreprise, ils créent des vulnérabilités qui peuvent exposer des systèmes de production sensibles, des bases de données et l'infrastructure interne à des acteurs malveillants ou à des brèches accidentelles.

Capacités

FonctionnalitéSupportDétails
Analyse historique✅ (Pris en charge)Analyse complète de l'historique du dépôt
Détection en temps réel✅ (Pris en charge)Détection instantanée via webhooks
Périmètre surveillé✅ (Pris en charge)Surveillance granulaire de vos Orgs et dépôts
Périmètre d'équipe✅ (Pris en charge)Contrôle d'accès basé sur l'équipe
Vérification de présence✅ (Pris en charge)Vérifier si les secrets sont toujours accessibles
Pièces jointes❌ (Non pris en charge)Non applicable pour les dépôts de code

Ce que nous analysons :

  • Fichiers de code source, fichiers de configuration et fichiers texte brut
  • Toutes les branches du dépôt et l'historique des commits
info

Tout au long de cette page, "Bitbucket Data Center" fait référence à la fois à Bitbucket Data Center et à Bitbucket Server. Dans l'application, vous verrez "Data Center" comme libellé, qui inclut également la fonctionnalité Server. Nous utilisons "Data Center" dans notre formulation car Bitbucket Server est déprécié et Data Center est la dernière version supportée par Atlassian.

Vue d'ensemble de l'intégration

Prérequis :

  • Compte Owner ou Manager sur votre Dashboard GitGuardian
  • Permissions admin Bitbucket pour créer des personal access tokens et configurer des webhooks
  • Connectivité réseau entre GitGuardian et vos services self-hosted. Découvrez GitGuardian Bridge pour permettre des connexions sécurisées entre GitGuardian SaaS et vos services self-hosted dans des réseaux privés.

GitGuardian peut s'intégrer à votre Bitbucket Data Center via deux mécanismes : les intégrations au niveau du projet et au niveau de l'instance.

info

Les deux mécanismes nécessitent un personal access token avec les scopes suivants : permissions Read pour les projets et permissions Admin pour les dépôts. Cela permet à GitGuardian de créer des webhooks pour recevoir des informations sur les mises à jour des dépôts.

GitGuardian nécessite une fenêtre de 3 heures avant de synchroniser les informations de l'instance Bitbucket. Cela pourrait se traduire, au pire, par un délai de 3 heures avant qu'un projet nouvellement créé ne soit surveillé.

Afin de garder votre intégration sécurisée, la vérification SSL est requise pour intégrer les instances Bitbucket. Tous les messages entre GitGuardian et votre instance Bitbucket seront authentifiés par HMAC SHA-256.

Configuration

Créer un Personal Access Token

astuce

Nous recommandons fortement d'utiliser un utilisateur bot pour générer les personal access tokens. C'est parce qu'un personal access token est étroitement lié au compte Bitbucket qui l'a créé. Si le compte Bitbucket est supprimé, le token qu'il a généré est également supprimé.

  1. Naviguez vers vos paramètres utilisateur Bitbucket (généralement dans votre coin supérieur droit, sous Manage Account)
  2. Allez dans la section Personal access tokens
  3. Créez un personal access token avec un nom simple comme "GitGuardian" et des permissions Read sur les projets et Admin sur les dépôts. Définissez l'option "Automatic Expiry" sur "No".
    Le personal token permet à GitGuardian de créer des webhooks via l'API de votre Bitbucket.
    Bitbucket personal access token creation form

Veuillez vous référer à la documentation Bitbucket server pour plus d'informations sur les personal access tokens.

Nous vous conseillons de ne jamais révoquer le token avant de supprimer votre intégration Bitbucket sur le dashboard GitGuardian.

Intégration au niveau de l'instance

Ce mode d'intégration surveillera automatiquement tous les projets et dépôts de l'instance.

Prérequis

  • Bitbucket Server/Data Center self-managed : version compatible minimum garantie 7.6+
  • Un token Administrator (permission globale SYSADMIN) avec permissions Read pour les projets et permissions Admin pour les dépôts

Directives

  1. Naviguez vers Settings > Integrations > Sources.
  2. Cliquez sur Configure pour Bitbucket.
  3. Cliquez sur Start pour l'option au niveau de l'instance : "Monitor the entire Bitbucket instance"
  4. Soumettez l'URL de votre instance Bitbucket et le personal access token créé.
    Bitbucket token form
    attention

    L'URL de l'instance Bitbucket doit être préfixée par https://, les instances sans connexion sécurisée ne seront pas surveillées.
    L'URL utilisée doit être de type scheme+basename (ex : https://bitbucket.gitguardian.example).

  5. GitGuardian commencera à surveiller votre instance Bitbucket. Vous pouvez voir les projets et dépôts surveillés dans votre page paramètres Bitbucket en cliquant sur See my Bitbucket perimeter.

Détails de l'abonnement aux événements

Notre intégration s'abonnera aux événements suivants :

  • Repository update events
  • Push events

Dépannage

  • Vous pouvez soumettre de nouveaux personal access tokens si vous voulez surveiller plus d'instances Bitbucket.
  • GitGuardian détecte automatiquement si le Personal access token devient invalide (en expirant ou en étant révoqué) et enverra un email pour vous notifier. Toutes vos données existantes resteront accessibles.
  • Si vous avez beaucoup de dépôts, ils peuvent prendre un peu de temps à apparaître sur votre page périmètre pendant que GitGuardian configure les webhooks nécessaires sur chacun d'eux.

Intégration au niveau du projet

Cette intégration ne surveillera que les projets sélectionnés par l'utilisateur. Lorsqu'un nouveau dépôt est ajouté à un projet surveillé, il sera automatiquement surveillé.

Notez que vous ne pouvez pas avoir une intégration au niveau de l'instance et une intégration au niveau du projet en même temps.

Prérequis

  • Bitbucket Server/Data Center self-managed : version compatible minimum garantie 7.6+
  • Un token avec permissions Read pour les projets et permissions Admin pour les dépôts. Une intégration au niveau du projet peut être créée par tout utilisateur disposant de permissions Administrator sur un projet Bitbucket. Cela ne nécessite pas que l'utilisateur soit Administrator de l'instance.

Directives

  1. Naviguez vers Settings > Integrations > Sources.
  2. Cliquez sur Configure pour Bitbucket.
  3. Cliquez sur Start pour l'option au niveau du projet : "Monitor only certain Bitbucket projects"
  4. Soumettez l'URL de votre instance Bitbucket et le personal access token créé.
    Bitbucket token form
    attention

    L'URL de l'instance Bitbucket doit être préfixée par https://, les instances sans connexion sécurisée ne seront pas surveillées.

  5. GitGuardian affichera les projets disponibles pour la surveillance. En cliquant sur Install, GitGuardian installera les hooks et permettra à tous les dépôts de ce projet d'être surveillés.
    Bitbucket install form
  6. Vous pouvez voir les projets et dépôts surveillés dans votre page paramètres Bitbucket en cliquant sur See my Bitbucket perimeter.

Détails de l'abonnement aux événements

Notre intégration s'abonnera aux événements suivants :

  • Repository update events
  • Push events

Dépannage

  • Vous pouvez soumettre de nouveaux personal access tokens si vous voulez surveiller plus d'instances ou de projets Bitbucket.
  • GitGuardian détecte automatiquement si le Personal access token devient invalide (en expirant ou en étant révoqué) et enverra un email pour vous notifier. Toutes vos données existantes resteront accessibles.
  • Si vous avez beaucoup de dépôts, ils peuvent prendre un peu de temps à apparaître sur votre page périmètre pendant que GitGuardian configure les webhooks nécessaires sur chacun d'eux.

Analyse historique automatique

Par défaut, GitGuardian effectue une analyse historique pour chaque nouveau dépôt Bitbucket ajouté à votre périmètre.

Vous pouvez désactiver ce comportement dans vos paramètres Bitbucket si vous êtes Manager du workspace.

Autoscan settings

Surveillance automatique des dépôts

Par défaut, GitGuardian surveille automatiquement les dépôts ajoutés à votre périmètre.

Vous pouvez désactiver ce comportement dans vos paramètres Bitbucket si vous êtes Manager du workspace.

Autoscan settings

Personnaliser votre périmètre surveillé

Une fois votre intégration Bitbucket configurée, vous avez la possibilité de configurer quels dépôts surveiller dans la section paramètres Bitbucket de votre workspace.

Si vous désélectionnez un dépôt de votre périmètre surveillé :

  • GitGuardian ne recevra plus aucun contenu de ses commits
  • et donc vous ne recevrez aucune alerte liée à ce dépôt.

Ajustements possibles des paramètres Bitbucket Server

Les propriétés de Configuration Bitbucket Server vous permettent de modifier certains comportements par défaut de Bitbucket Server afin qu'il puisse gérer la surveillance d'un plus grand nombre de dépôts.

Réduire le délai des webhooks (afin que les incidents GitGuardian n'apparaissent pas en retard) :

  • plugin.webhooks.io.threads peut être augmenté à partir de la valeur par défaut de 3 si l'hôte Bitbucket dispose de suffisamment de threads.
  • plugin.webhooks.http.connection.host.max peut être augmenté à partir de la valeur par défaut de 5.
Dernière mise à jour le

Il manque quelque chose ?

Voir notre feuille de route

S'abonner sur GitHub

Soumettre une demande

Statut de l’API