Intégrer GitHub
Protégez votre code source en surveillant les dépôts GitHub à la recherche de secrets exposés dans les commits, branches et pull requests.
Pourquoi surveiller GitHub ?
Les développeurs commitent fréquemment des clés API, des credentials de bases de données et des tokens privés directement dans des dépôts GitHub. Ces secrets en dur deviennent accessibles à toute personne ayant accès au dépôt et restent stockés en permanence dans l'historique git, créant des vulnérabilités de sécurité durables qui peuvent compromettre toute votre infrastructure.
Capacités
| Fonctionnalité | Support | Détails |
|---|---|---|
| Analyse historique | ✅ (Pris en charge) | Analyse complète de l'historique du dépôt |
| Détection en temps réel | ✅ (Pris en charge) | Détection instantanée via webhooks |
| Périmètre surveillé | ✅ (Pris en charge) | Surveillance granulaire de vos Orgs et dépôts |
| Périmètre d'équipe | ✅ (Pris en charge) | Contrôle d'accès basé sur l'équipe |
| Vérification de présence | ✅ (Pris en charge) | Vérifier si les secrets sont toujours accessibles |
| Pièces jointes | ❌ (Non pris en charge) | Non applicable pour les dépôts de code |
Ce que nous analysons :
- Fichiers de code source, fichiers de configuration et fichiers texte brut
- Toutes les branches du dépôt et l'historique des commits
Configurer votre intégration GitHub
Prérequis :
- Compte Owner ou Manager sur votre Dashboard GitGuardian
- Permissions GitHub organization admin ou repository owner
GitGuardian s'intègre nativement avec GitHub via une GitHub app que vous pouvez installer sur vos dépôts GitHub personnels et sur les dépôts de vos organisations GitHub. Vous pouvez vous référer à la documentation GitHub pour plus d'informations sur les apps GitHub.
Analyser les incidents avec la GitHub app GitGuardian
La GitHub app GitGuardian a uniquement un accès en lecture à votre code.
Optionnellement, il est possible d'accorder à GitGuardian un accès en écriture pour bénéficier de fonctionnalités business spécifiques. Voir la section dédiée pour plus de détails.
Vous aurez besoin des droits Owner ou Manager dans GitGuardian pour configurer une intégration ou personnaliser vos paramètres.
Vous pouvez installer GitGuardian sur :
- votre compte GitHub personnel pour surveiller vos dépôts personnels,
- une organisation GitHub dont vous êtes le propriétaire.
- Naviguez vers Settings > Integrations > Sources.
- Cliquez sur Install pour GitHub.
- Cliquez sur Install pour démarrer le processus d'installation de la GitHub app (vous serez ensuite redirigé vers GitHub).
- Authentifiez-vous sur GitHub si vous n'êtes pas déjà connecté.
- Choisissez où installer la GitHub app (soit pour votre compte GitHub personnel, soit pour l'organisation GitHub dont vous êtes administrateur)
- Choisissez votre mode d'installation préféré : All repositories ou Only select repositories.
- All repositories : GitGuardian sera installé sur tous les dépôts existants.
Les nouveaux dépôts seront intégrés à GitGuardian automatiquement.
- Only select repositories : GitGuardian sera installé uniquement sur les dépôts que vous sélectionnez.
Les nouveaux dépôts ne seront pas automatiquement intégrés à GitGuardian — le processus d'installation devra être relancé pour intégrer de nouveaux dépôts.
Nous recommandons de choisir All repositories car vous pouvez ensuite désélectionner manuellement ceux-ci via le dashboard GitGuardian.
- All repositories : GitGuardian sera installé sur tous les dépôts existants.
Les nouveaux dépôts seront intégrés à GitGuardian automatiquement.
- Suivez les instructions et vos dépôts GitHub choisis seront ajoutés à votre workspace.
Si vous tentez d'installer GitGuardian sur une organisation GitHub où vous n'êtes que membre, et non propriétaire, GitHub vous proposera d'utiliser un flow "Request installation".
Nous recommandons fortement d'inviter le propriétaire à votre workspace GitGuardian pour effectuer l'intégration, attachant ainsi l'organisation GitHub à votre workspace.
Accorder les permissions d'écriture de code avec la GitHub app GitGuardian:write
Certaines fonctionnalités business nécessitent des permissions d'écriture sur vos dépôts pour pouvoir ouvrir des pull requests.
Actuellement, cela concerne la fonctionnalité Honeytoken Deployment jobs.
L'octroi de permissions d'écriture à GitGuardian se fait via l'installation d'une seconde GitHub app "GitGuardian:write".
- Naviguez vers la section paramètres GitHub où votre intégration est déjà configurée avec l'app principale.
- Cliquez sur Manage sources > Configure write permissions.
- Choisissez l'organisation sur laquelle vous voulez installer la GitHub app, puis choisissez votre mode d'installation préféré (toute l'organisation ou dépôts sélectionnés). Notez que vous devez l'installer sur les dépôts où la GitHub principale est déjà installée si vous voulez les voir dans le dashboard GitGuardian.
Intégration avec GitGuardian Self-Hosted
Nous recommandons d'utiliser des workers dédiés pour cette intégration. Pour des informations plus détaillées sur le scaling et la configuration, veuillez visiter notre page scaling.
Si vous utilisez une instance GitGuardian self-hosted, vous devez d'abord créer une GitHub App dédiée afin de posséder l'intégralité du flux de données. GitGuardian s'en occupe pour vous de manière programmatique via le manifest GitHub. Cela garantira que votre GitHub App est créée avec tous les droits appropriés.
Par défaut, la GitHub app GitGuardian a uniquement un accès en lecture à votre code.
Optionnellement, il est possible d'accorder à GitGuardian un accès en écriture pour bénéficier de fonctionnalités business spécifiques (plus de détails dans cette section dédiée).
Vous aurez besoin des droits Owner ou Manager dans GitGuardian pour configurer une intégration ou personnaliser vos paramètres.
- Naviguez vers Settings > Integrations > Sources.
- Cliquez sur Configure pour GitHub.
- Cliquez sur Install pour démarrer le processus de création et d'installation de la GitHub app.
- Choisissez un nom et validez la création de la GitHub App.
- Une fois la GitHub app créée, vous pouvez maintenant suivre les étapes d'installation SAAS depuis l'étape 5 ci-dessus et choisir les organisations GitHub à intégrer avec GitGuardian.
La GitHub App appartient à l'utilisateur qui l'a créée. Nous recommandons de transférer la propriété à une organisation au cas où l'utilisateur serait ultérieurement désactivé.
IMPORTANT : GitGuardian ne peut pas surveiller les dépôts dont le propriétaire n'a pas installé la GitHub App. Si le dépôt appartient à une organisation GitHub, le propriétaire de l'organisation doit installer la GitHub App.
Accorder les permissions d'écriture de code à GitGuardian
Certaines fonctionnalités business nécessitent des permissions d'écriture sur vos dépôts pour pouvoir ouvrir des pull requests.
Actuellement, cela concerne la fonctionnalité Honeytoken Deployment jobs.
Pour permettre à GitGuardian d'ouvrir des pull requests sur les dépôts de votre instance, allez dans la page des paramètres de l'app dans GitHub, dans l'onglet "Permissions & events". Sous la section "Repository permissions", changez les permissions sur Contents en "Read and write" :
Ce changement doit ensuite être propagé aux organisations où cette app est installée, en acceptant la demande de mise à jour des permissions :
Ajouter de nouveaux dépôts
Vous pouvez ajouter de nouvelles organisations ou dépôts en cliquant sur add another sur la page de la liste des intégrations ou la page de l'intégration GitHub.
Vous pouvez également reconfigurer un compte GitHub personnel / une organisation GitHub précédemment installé(e) et changer le mode d'installation en All repositories ou Only select repositories.
Analyse historique automatique
Par défaut, GitGuardian effectue une analyse historique pour chaque nouveau dépôt GitHub ajouté à votre périmètre.
Vous pouvez désactiver ce comportement dans vos paramètres GitHub si vous êtes Manager du workspace.
Surveillance automatique des dépôts
Par défaut, GitGuardian surveille automatiquement les dépôts ajoutés à votre périmètre.
Vous pouvez désactiver ce comportement dans vos paramètres GitHub si vous êtes Manager du workspace.
Comprendre les capacités d'analyse
Analyse historique
Découvrir votre dette de secrets : lors de votre première intégration de cette source, GitGuardian effectue une analyse complète de tout votre historique de contenu, basée sur votre périmètre personnalisé. Cela révèle les secrets qui peuvent avoir été exposés il y a des semaines, des mois, voire des années — vous aidant à traiter votre dette de sécurité existante.
Analyse en temps réel
Détectez instantanément les nouvelles expositions : une fois intégré, GitGuardian surveille en continu votre contenu via une détection basée sur les événements. Tout contenu nouveau ou modifié contenant des secrets est détecté immédiatement, vous permettant de réagir rapidement aux nouvelles expositions.
Personnaliser votre périmètre surveillé
Une fois votre intégration GitHub configurée, vous pouvez configurer quels dépôts surveiller dans la section paramètres GitHub de votre workspace.
Si vous désélectionnez un dépôt de votre périmètre surveillé :
- GitGuardian ne récupérera plus le contenu de ses commits, et donc aucune alerte ne sera levée pour ce dépôt.
- La GitHub app GitGuardian restera installée sur ce dépôt, vous pouvez donc facilement réactiver la surveillance.
