Détecter les secrets sur les postes de travail des développeurs

Vue d'ensemble

La détection de secrets peut être intégrée très tôt dans le processus de développement. GitGuardian donne aux développeurs les moyens, avec ggshield (notre application en ligne de commande), d'analyser leurs commits à la recherche de secrets en clair avant de les pousser.

Le coût de correction des secrets en clair est beaucoup plus faible à ce stade qu'une fois qu'ils ont atteint le dépôt central/partagé, d'où l'importance de décaler la sécurité vers la gauche et de fournir aux développeurs un retour précoce et fréquent.

ggshield peut être intégré dans les git hooks pour analyser automatiquement le code avant de commiter les changements stagés (hook pre-commit) ou avant de pousser le code vers le dépôt partagé (hook pre-push).

Details

Qu'est-ce que les git hooks ?

Comme de nombreux Version Control Systems, git a un moyen de déclencher des scripts personnalisés lorsque certaines actions sont déclenchées. Il existe deux groupes de ces hooks : côté client et côté serveur. Les hooks côté client sont déclenchés par des opérations telles que le commit et le merge, tandis que les hooks côté serveur s'exécutent sur des opérations réseau telles que la réception de commits poussés. Les scripts personnalisés exécutés dans les git hooks peuvent être utilisés à diverses fins comme le linting, les tests et l'exécution d'analyses de sécurité sur votre code.

Démarrer avec ggshield

1. Configurez ggshield sur votre poste de travail
2. Configurez les git hooks avec ggshield :
   • hook pre-commit
   • hook pre-push

Ressources supplémentaires

• Comment utiliser ggshield pour éviter les secrets en clair [cheat sheet incluse]
• Utiliser ggshield tout au long du cycle de vie de développement logiciel - Une vue de développeur de GitGuardian [vidéo]