Intégrer GitHub Enterprise Server
Surveillez les dépôts GitHub Enterprise Server à la recherche de secrets exposés dans les fichiers source, les fichiers de configuration et les historiques de commit.
Les environnements GitHub Enterprise Server contiennent la propriété intellectuelle la plus précieuse de votre organisation et du code propriétaire. Bien que l'auto-hébergement offre du contrôle, cela signifie également que vous êtes responsable de la détection lorsque des développeurs commitent des identifiants de production, des clés d'API internes ou des secrets d'infrastructure qui pourraient compromettre l'ensemble de votre réseau d'entreprise et de vos applications.
Capacités
| Fonctionnalité | Support | Détails |
|---|---|---|
| Scan historique | ✅ (Supporté) | Analyse complète de l'historique du dépôt |
| Détection en temps réel | ✅ (Supporté) | Détection instantanée via webhooks |
| Périmètre surveillé | ✅ (Supporté) | Surveillance granulaire de vos Orgs et dépôts |
| Périmètre d'équipe | ✅ (Supporté) | Contrôle d'accès basé sur les équipes |
| Vérification de présence | ✅ (Supporté) | Vérifie si les secrets sont toujours accessibles |
| Pièces jointes | ❌ (Non supporté) | Non applicable pour les dépôts de code |
Ce que nous scannons :
- Fichiers de code source, fichiers de configuration et fichiers texte bruts
- Toutes les branches du dépôt et l'historique des commits
Configuration
Prérequis :
- Compte Owner ou Manager sur votre Dashboard GitGuardian
- Permissions GitHub Enterprise Server admin pour installer des GitHub apps
- Connectivité réseau entre GitGuardian et vos services self-hosted. Découvrez GitGuardian Bridge pour permettre des connexions sécurisées entre GitGuardian SaaS et vos services self-hosted dans des réseaux privés.
Si votre instance applique des limites de débit API, les valeurs par défaut peuvent être trop basses et ralentir le scan de GitGuardian. Pour scanner dans un délai raisonnable, augmentez les limites ou exemptez de la limitation de débit le compte, le token ou le compte de service utilisé par GitGuardian. Voir Limites de débit sur les sources self-hosted.
GitGuardian s'intègre à GitHub Enterprise Server via une GitHub App avec un accès en lecture seule à vos dépôts.
Par défaut, la GitHub app GitGuardian a uniquement un accès en lecture à votre code. En option, il est possible d'accorder à GitGuardian un accès en écriture afin de bénéficier de fonctionnalités métier spécifiques (plus de détails dans cette section dédiée).
La GitHub App GitGuardian préexistante ne peut pas être utilisée pour s'intégrer à GitHub Enterprise Server. À la place, vous devrez créer une GitHub App distincte sur votre propre instance GitHub Enterprise Server. Ce processus est simple car GitGuardian indiquera automatiquement les configurations requises. Vous pouvez consulter la documentation GitHub pour plus d'informations sur les GitHub apps.
GitGuardian prend en charge toutes les versions de GitHub Enterprise Server supportées par GitHub lui-même.
Configurer votre intégration GitHub Enterprise Server
- Naviguez vers Settings > Integrations > Sources.
- Cliquez sur Install pour GitHub Enterprise Server.
- Saisissez l'URL de votre instance GitHub Enterprise Server, et sélectionnez le niveau de permission à accorder à GitGuardian.
Read-only est suffisant pour scanner les incidents, tandis que les permissions read and write sont nécessaires si vous souhaitez tirer parti de fonctionnalités métier telles que les Honeytoken deployment jobs.
Le niveau de permission peut être modifié ultérieurement. Consultez la section dédiée pour plus d'informations.
4. Cliquez sur Create the GitHub app pour être redirigé vers GitHub Enterprise Server et créer votre app dédiée
5. Validez la création de la GitHub App. Nous vous recommandons de choisir un nom simple pour votre GitHub app comme GitGuardian, ce qui la rendra facilement reconnaissable.
6. La GitHub App est désormais créée et vous pouvez l'installer pour des utilisateurs et des organisations.
7. Suivez exactement les mêmes étapes que pour l'intégration GitHub.com SaaS.
La GitHub App appartient à l'utilisateur qui l'a créée. Nous vous recommandons de transférer la propriété à une organisation au cas où l'utilisateur serait ultérieurement désactivé.
IMPORTANT : GitGuardian ne peut pas surveiller les dépôts dont le propriétaire n'a pas installé la GitHub App. Si le dépôt appartient à une organisation GitHub, le propriétaire de l'organisation doit installer la GitHub App.
Page de configuration
Lorsque vous intégrez votre instance GitHub Enterprise Server, vous avez accès à une page de configuration.
Depuis cette page, vous avez la possibilité de :
- intégrer une autre instance GitHub Enterprise Server avec GitGuardian.
- gérer vos instances existantes et leur GitHub app dédiée. GitGuardian vous indique celles qui sont considérées comme inactives.
Accorder à GitGuardian les permissions d'écriture sur le code
Certaines fonctionnalités métier nécessitent la permission d'écriture sur vos dépôts afin de pouvoir ouvrir des pull requests.
Actuellement, cela concerne la fonctionnalité Honeytoken Deployment jobs.
Si la permission d'écriture n'a pas été fournie au moment de la création de l'app, vous pouvez accorder cette permission ultérieurement en mettant à jour l'app existante :
- Sur la page de configuration, cliquez sur "Configure write permission" pour votre instance GitHub Enterprise Server.
- Vous serez redirigé vers GitHub Enterprise Server, dans l'onglet "Permissions & events" de l'app. Sous la section "Repository permissions", modifiez les permissions sur Contents en "Read and write" :
- Ce changement doit ensuite être propagé aux organisations où cette app est installée, en acceptant la demande de mise à jour des permissions :
Scan historique automatique
Par défaut, GitGuardian effectue un scan historique pour chaque nouveau dépôt GitHub Enterprise Server ajouté à votre périmètre.
Vous pouvez désactiver ce comportement dans vos paramètres GitHub Enterprise Server si vous êtes Manager du workspace.
Surveillance automatique des dépôts
Par défaut, GitGuardian surveille automatiquement les dépôts ajoutés à votre périmètre.
Vous pouvez désactiver ce comportement dans vos paramètres GitHub Enterprise Server si vous êtes Manager du workspace.
