Intégrer GitHub Enterprise Server
Surveillez les dépôts GitHub Enterprise Server à la recherche de secrets exposés dans les fichiers source, fichiers de configuration et historiques de commits.
Les environnements GitHub Enterprise Server contiennent la propriété intellectuelle et le code propriétaire les plus précieux de votre organisation. Bien que l'auto-hébergement offre du contrôle, cela signifie également que vous êtes responsable de détecter quand les développeurs commitent des credentials de production, des clés API internes ou des secrets d'infrastructure qui pourraient compromettre l'ensemble de votre réseau et de vos applications d'entreprise.
Capacités
| Fonctionnalité | Support | Détails |
|---|---|---|
| Analyse historique | ✅ (Pris en charge) | Analyse complète de l'historique du dépôt |
| Détection en temps réel | ✅ (Pris en charge) | Détection instantanée via webhooks |
| Périmètre surveillé | ✅ (Pris en charge) | Surveillance granulaire de vos Orgs et dépôts |
| Périmètre d'équipe | ✅ (Pris en charge) | Contrôle d'accès basé sur l'équipe |
| Vérification de présence | ✅ (Pris en charge) | Vérifier si les secrets sont toujours accessibles |
| Pièces jointes | ❌ (Non pris en charge) | Non applicable pour les dépôts de code |
Ce que nous analysons :
- Fichiers de code source, fichiers de configuration et fichiers texte brut
- Toutes les branches du dépôt et l'historique des commits
Configuration
Prérequis :
- Compte Owner ou Manager sur votre Dashboard GitGuardian
- Permissions GitHub Enterprise Server admin pour installer des GitHub apps
- Connectivité réseau entre GitGuardian et vos services self-hosted. Découvrez GitGuardian Bridge pour permettre des connexions sécurisées entre GitGuardian SaaS et vos services self-hosted dans des réseaux privés.
GitGuardian s'intègre avec GitHub Enterprise Server via une GitHub App avec accès en lecture seule à vos dépôts.
Par défaut, la GitHub app GitGuardian a uniquement un accès en lecture à votre code. Optionnellement, il est possible d'accorder à GitGuardian un accès en écriture pour bénéficier de fonctionnalités business spécifiques (plus de détails dans cette section dédiée).
La GitHub App GitGuardian préexistante ne peut pas être utilisée pour s'intégrer à GitHub Enterprise Server. À la place, vous devrez créer une GitHub App séparée sur votre propre instance GitHub Enterprise Server. Ce processus est simple car GitGuardian indiquera automatiquement les configurations requises. Vous pouvez vous référer à la documentation GitHub pour plus d'informations sur les GitHub apps.
GitGuardian prend en charge toutes les versions de GitHub Enterprise Server supportées par GitHub lui-même.
Configurer votre intégration GitHub Enterprise Server
- Naviguez vers Settings > Integrations > Sources.
- Cliquez sur Install pour GitHub Enterprise Server.
- Entrez l'URL de votre instance GitHub Enterprise Server, et sélectionnez le niveau de permission à accorder à GitGuardian.
Read-only est suffisant pour analyser les incidents, tandis que les permissions read and write sont nécessaires si vous voulez tirer parti de fonctionnalités business comme les Honeytoken deployment jobs.
Le niveau de permission peut être modifié plus tard. Voir la section dédiée pour plus d'informations.
4. Cliquez sur Create the GitHub app pour être redirigé vers GitHub Enterprise Server et créer votre app dédiée
5. Validez la création de la GitHub App. Nous recommandons de choisir un nom simple pour votre GitHub app comme GitGuardian, ce qui la rendra facilement reconnaissable.
6. La GitHub App est maintenant créée et vous pouvez l'installer pour des utilisateurs et des organisations.
7. Suivez les exactes mêmes étapes que pour l'intégration GitHub.com SaaS.
La GitHub App appartient à l'utilisateur qui l'a créée. Nous recommandons de transférer la propriété à une organisation au cas où l'utilisateur serait ultérieurement désactivé.
IMPORTANT : GitGuardian ne peut pas surveiller les dépôts dont le propriétaire n'a pas installé la GitHub App. Si le dépôt appartient à une organisation GitHub, le propriétaire de l'organisation doit installer la GitHub App.
Page de configuration
Lorsque vous intégrez votre instance GitHub Enterprise Server, vous avez accès à une page de configuration.
Depuis cette page, vous avez la possibilité de :
- intégrer une autre instance GitHub Enterprise Server avec GitGuardian.
- gérer vos instances existantes et leur GitHub app dédiée. GitGuardian vous indique celles qui sont considérées comme inactives.
Accorder les permissions d'écriture de code à GitGuardian
Certaines fonctionnalités business nécessitent une permission d'écriture sur vos dépôts pour pouvoir ouvrir des pull requests.
Actuellement, cela concerne la fonctionnalité Honeytoken Deployment jobs.
Si la permission d'écriture n'a pas été fournie au moment de la création de l'app, vous pouvez accorder cette permission plus tard en mettant à jour l'app existante :
- Dans la page de configuration, cliquez sur "Configure write permission" pour votre instance GitHub Enterprise Server.
- Vous serez redirigé vers GitHub Enterprise Server, dans l'onglet "Permissions & events" de l'app. Sous la section "Repository permissions", changez les permissions sur Contents en "Read and write" :
- Ce changement doit ensuite être propagé aux organisations où cette app est installée, en acceptant la demande de mise à jour des permissions :
Analyse historique automatique
Par défaut, GitGuardian effectue une analyse historique pour chaque nouveau dépôt GitHub Enterprise Server ajouté à votre périmètre.
Vous pouvez désactiver ce comportement dans vos paramètres GitHub Enterprise Server si vous êtes Manager du workspace.
Surveillance automatique des dépôts
Par défaut, GitGuardian surveille automatiquement les dépôts ajoutés à votre périmètre.
Vous pouvez désactiver ce comportement dans vos paramètres GitHub Enterprise Server si vous êtes Manager du workspace.
