Intégrer Gerrit
Surveillez les dépôts Gerrit à la recherche de secrets exposés dans les fichiers source, fichiers de configuration et historiques de commits.
Pourquoi surveiller Gerrit ?
Gerrit est largement utilisé pour les workflows de revue de code en entreprise, hébergeant souvent des dépôts internes sensibles. Lorsque les développeurs commitent des credentials ou des tokens API, ces secrets deviennent partie intégrante de l'historique git permanent et peuvent être exposés à toute personne ayant accès au dépôt, mettant les systèmes internes et l'infrastructure en danger.
Capacités
| Fonctionnalité | Support | Détails |
|---|---|---|
| Analyse historique | ✅ (Pris en charge) | Analyse complète de l'historique du dépôt |
| Détection en temps réel | ⚠️ (Nécessite un plugin) | Détection instantanée via le plugin webhook Gerrit |
| Périmètre surveillé | ✅ (Pris en charge) | Surveillance granulaire de vos dépôts |
| Périmètre d'équipe | ✅ (Pris en charge) | Contrôle d'accès basé sur l'équipe |
| Vérification de présence | ✅ (Pris en charge) | Vérifier si les secrets sont toujours accessibles |
| Pièces jointes | ❌ (Non pris en charge) | Non applicable pour les dépôts de code |
Ce que nous analysons :
- Fichiers de code source, fichiers de configuration et fichiers texte brut
- Toutes les branches du dépôt et l'historique des commits
Sans le plugin webhook Gerrit, seule l'analyse historique est disponible. La détection en temps réel des nouveaux commits nécessite l'installation du plugin sur votre instance Gerrit. Voir Analyse en temps réel pour plus de détails.
Configuration
Prérequis :
- Compte Owner ou Manager sur votre Dashboard GitGuardian
- Un nom d'utilisateur HTTP et mot de passe HTTP Gerrit (pas vos credentials SSH ou Git - générez-les dans les paramètres de votre compte Gerrit sous HTTP Credentials)
- Accès Gerrit admin à l'instance que vous voulez surveiller
- Connectivité réseau entre GitGuardian et vos services self-hosted. Découvrez GitGuardian Bridge pour permettre des connexions sécurisées entre GitGuardian SaaS et vos services self-hosted dans des réseaux privés.
Connecter votre instance Gerrit
-
Naviguez vers Settings > Integrations > Sources.
-
Cliquez sur Configure pour Gerrit.
-
Soumettez l'URL de votre instance Gerrit, le nom d'utilisateur HTTP et le mot de passe HTTP.
attentionL'URL de l'instance Gerrit doit être préfixée par
https://. Les instances sans connexion sécurisée ne seront pas surveillées. -
GitGuardian commencera instantanément à analyser votre instance Gerrit. Vous pouvez voir les dépôts surveillés dans votre page paramètres Gerrit en cliquant sur See my Gerrit perimeter.
Nous recommandons d'utiliser un utilisateur bot dédié pour générer les credentials HTTP. Cela évite les perturbations si le compte d'un utilisateur individuel est supprimé.
Optionnel : read replica
Si votre instance Gerrit a un read replica configuré, vous pouvez fournir son URL lors de la configuration. GitGuardian utilisera la replica pour cloner les dépôts afin de réduire la charge sur votre serveur Gerrit principal. Tous les appels API utilisent toujours l'URL de l'instance principale.
Analyse historique
Par défaut, GitGuardian effectue une analyse historique de l'historique complet des commits pour chaque dépôt ajouté à votre périmètre.
L'analyse des changements Gerrit (patchsets) n'est pas activée par défaut. Si vous avez besoin que GitGuardian inclue les patchsets de changements Gerrit dans l'analyse historique, contactez le support GitGuardian pour activer cette option pour votre workspace.
GitGuardian utilise le plugin Gitiles pour relier les secrets détectés au diff de commit pertinent dans votre instance Gerrit. La plupart des instances Gerrit publiques et self-hosted ont ce plugin disponible par défaut.
Analyse en temps réel
L'analyse en temps réel détecte les nouveaux secrets dès que les commits sont pushés vers Gerrit. Cela nécessite l'installation du plugin webhook Gerrit sur votre instance Gerrit.
Sans le plugin webhook : seule l'analyse historique est disponible. Les nouveaux commits pushés vers Gerrit ne seront pas analysés en temps réel.
Avec le plugin webhook : GitGuardian reçoit les événements de push immédiatement et analyse les nouveaux commits dès leur arrivée.
Pour activer le plugin webhook, référez-vous à la documentation du plugin webhook Gerrit et configurez-le pour envoyer les événements à votre URL webhook GitGuardian affichée dans les paramètres d'intégration.
Comprendre les capacités d'analyse
Analyse historique
Découvrez votre dette de secrets : lorsque vous intégrez cette source pour la première fois, GitGuardian effectue une analyse complète de tout l'historique de votre dépôt, basé sur votre périmètre configuré. Cela révèle les secrets qui peuvent avoir été exposés des semaines, des mois ou même des années auparavant — vous aidant à traiter votre dette de sécurité existante.
Analyse en temps réel
Détectez les nouvelles expositions instantanément : une fois le plugin webhook installé, GitGuardian surveille en continu vos dépôts via une détection basée sur les événements. Les nouveaux commits contenant des secrets sont détectés immédiatement, vous permettant de répondre rapidement aux nouvelles expositions.
Personnaliser votre périmètre surveillé
Une fois votre intégration Gerrit configurée, vous pouvez configurer quels dépôts surveiller dans la section paramètres Gerrit de votre workspace.
Si vous désélectionnez un dépôt de votre périmètre surveillé :
- GitGuardian n'analysera plus les nouveaux commits pour ce dépôt.
- Vous ne recevrez aucune alerte liée à ce dépôt.
- Vous pouvez réactiver la surveillance à tout moment en le sélectionnant à nouveau.
