Intégrer Gerrit
Surveillez les dépôts Gerrit pour détecter les secrets exposés dans les fichiers source, les fichiers de configuration et les historiques de commits.
Pourquoi surveiller Gerrit ?
Gerrit est largement utilisé pour les workflows de revue de code en entreprise, et héberge souvent des dépôts internes sensibles. Lorsque des développeurs commitent des identifiants ou des tokens d'API, ces secrets deviennent une partie permanente de l'historique git et peuvent être exposés à toute personne ayant accès au dépôt, mettant en danger les systèmes internes et l'infrastructure.
Capacités
| Fonctionnalité | Support | Détails |
|---|---|---|
| Scan historique | ✅ (Pris en charge) | Analyse complète de l'historique du dépôt |
| Détection en temps réel | ⚠️ (Nécessite un plugin) | Détection instantanée via le plugin webhook Gerrit |
| Périmètre surveillé | ✅ (Pris en charge) | Surveillance granulaire de vos dépôts |
| Périmètre d'équipe | ✅ (Pris en charge) | Contrôle d'accès basé sur les équipes |
| Vérification de présence | ✅ (Pris en charge) | Vérifier si les secrets sont toujours accessibles |
| Pièces jointes | ❌ (Non pris en charge) | Non applicable aux dépôts de code |
Ce que nous scannons :
- Les fichiers de code source, les fichiers de configuration et les fichiers texte bruts
- Toutes les branches du dépôt et l'historique des commits
Configuration
Prérequis :
- Un compte Owner ou Manager sur votre Dashboard GitGuardian
- Un nom d'utilisateur HTTP et un mot de passe HTTP Gerrit (et non vos identifiants SSH ou Git — générez-les dans les paramètres de votre compte Gerrit sous HTTP Credentials)
- Un accès admin Gerrit à l'instance que vous souhaitez surveiller
- Connectivité réseau entre GitGuardian et vos services self-hosted. Découvrez GitGuardian Bridge pour permettre des connexions sécurisées entre GitGuardian SaaS et vos services self-hosted dans des réseaux privés.
Connecter votre instance Gerrit
-
Naviguez vers Settings > Integrations > Sources.
-
Cliquez sur Configure pour Gerrit.
-
Soumettez l'URL de votre instance Gerrit, votre nom d'utilisateur HTTP et votre mot de passe HTTP.
attentionL'URL de l'instance Gerrit doit être préfixée par
https://. Les instances sans connexion sécurisée ne seront pas surveillées. -
GitGuardian commencera instantanément à scanner votre instance Gerrit. Vous pouvez voir les dépôts surveillés dans votre page de paramètres Gerrit en cliquant sur See my Gerrit perimeter.
Nous recommandons d'utiliser un utilisateur bot dédié pour générer les identifiants HTTP. Cela évite toute interruption si le compte d'un utilisateur individuel est supprimé.
Optionnel : read replica
Si votre instance Gerrit dispose d'un read replica configuré, vous pouvez fournir son URL lors de la configuration. GitGuardian utilisera le replica pour cloner les dépôts afin de réduire la charge sur votre serveur Gerrit principal. Tous les appels d'API utilisent toujours l'URL de l'instance principale.
Scan historique
Par défaut, GitGuardian effectue un scan historique de l'historique complet des commits pour chaque dépôt ajouté à votre périmètre.
Le scan des changements Gerrit (patchsets) n'est pas activé par défaut. Si vous avez besoin que GitGuardian inclue les patchsets de changements Gerrit dans le scan historique, contactez le support GitGuardian pour activer cette option pour votre workspace.
GitGuardian utilise le plugin Gitiles pour relier les secrets détectés au diff de commit correspondant dans votre instance Gerrit. La plupart des instances Gerrit publiques et Self-Hosted disposent de ce plugin par défaut.
Scan en temps réel
Le scan en temps réel détecte les nouveaux secrets dès que les commits sont poussés vers Gerrit. Cela nécessite que le plugin webhook Gerrit soit installé sur votre instance Gerrit.
Sans le plugin webhook : Seul le scan historique est disponible. Les nouveaux commits poussés vers Gerrit ne seront pas scannés en temps réel.
Avec le plugin webhook : GitGuardian reçoit immédiatement les événements de push et scanne les nouveaux commits dès leur arrivée.
Pour activer le plugin webhook, consultez la documentation du plugin webhook Gerrit et configurez-le pour envoyer les événements à votre URL de webhook GitGuardian indiquée dans les paramètres de l'intégration.
Comprendre les capacités de scan
Scan historique
Découvrez votre dette de secrets : Lorsque vous intégrez cette source pour la première fois, GitGuardian effectue un scan complet de tout l'historique de votre dépôt, en fonction de votre périmètre configuré. Cela révèle les secrets qui peuvent avoir été exposés il y a des semaines, des mois, voire des années — vous aidant à traiter votre dette de sécurité existante.
Comment déclencher un scan historique : Les scans historiques s'exécutent automatiquement lorsqu'un dépôt est ajouté à votre périmètre. Vous pouvez également en redéclencher un à tout moment depuis votre page de périmètre : sélectionnez les sources et cliquez sur Scan dans la barre d'actions groupées. Consultez Gérer votre périmètre surveillé pour les limites de taille selon le plan, la gestion des erreurs et tous les détails.
Scan en temps réel
Détectez instantanément les nouvelles expositions : Une fois le plugin webhook installé, GitGuardian surveille en continu vos dépôts grâce à une détection basée sur les événements. Les nouveaux commits contenant des secrets sont détectés immédiatement, vous permettant de réagir rapidement aux nouvelles expositions.
Personnaliser votre périmètre surveillé
Une fois votre intégration Gerrit configurée, vous pouvez choisir les dépôts à surveiller dans la section des paramètres Gerrit de votre workspace.
Si vous désélectionnez un dépôt de votre périmètre surveillé :
- GitGuardian ne scannera plus les nouveaux commits pour ce dépôt.
- Vous ne recevrez aucune alerte liée à ce dépôt.
- Vous pouvez réactiver la surveillance à tout moment en le sélectionnant à nouveau.
