Aller au contenu principal

Vue d'ensemble

Pourquoi les organisations devraient-elles décaler les tests de sécurité vers la gauche (shift left) ?

Le shift left est un principe de développement qui stipule que la qualité et la sécurité du code doivent passer de la droite ou de la toute fin du cycle de vie de développement logiciel (après le déploiement du code dans les environnements d'exécution) vers la gauche – sur les postes de travail des développeurs et dans les IDE, dans les pipelines d'intégration continue (CI), etc.

En d'autres termes, la sécurité, et la détection de secrets, devraient être intégrées et conçues à toutes les étapes du processus de développement. Ce nouveau changement nécessite que les développeurs prennent davantage en charge la sécurité et les principes de sécurité.

GitGuardian CLI (ggshield)

ggshield, le CLI (interface en ligne de commande) GitGuardian intègre le moteur de détection de secrets de GitGuardian dans vos workflows de développement.

Démarrer avec ggshield.

FAQ

J'ai GitHub, GitLab ou un autre VCS configuré. Pourquoi devrais-je utiliser ggshield ?

GitGuardian CLI ou ggshield vous aide à attraper les secrets en clair plus tôt dans le cycle de vie de développement logiciel. Dans les cas où des hooks pre-commit ou pre-receive sont configurés avec ggshield, vous serez alerté avant que les secrets ne quittent votre poste de travail local et n'entrent dans les dépôts partagés/centraux. Cela empêche l'exposition des secrets et, par conséquent, vous évite la peine de la remédiation des incidents et de la révocation et rotation des secrets.

J'ai ggshield configuré. Devrais-je également scanner mon GitHub, GitLab et autres VCS ?

GitGuardian CLI est un outil très flexible. Il est rapide et facile à intégrer mais ne fournit pas les mêmes garanties de sécurité que la surveillance en temps réel de votre Version Control System (VCS). Les hooks pre-commit ou pre-receive peuvent être contournés, par exemple sur les postes de travail des développeurs. Dans les pipelines d'intégration continue (CI), ggshield doit être configuré individuellement pour chaque workflow/pipeline pour ajouter un job d'analyse de secrets.

La plateforme GitGuardian Internal Monitoring et ses intégrations VCS natives vous offrent :

  • Une visibilité complète sur tous les dépôts de votre périmètre en plus de la possibilité d'analyser tout leur historique de commits (périodiquement et à la demande),
  • Une protection en temps réel avec une analyse automatisée de chaque nouveau commit de code qui atteint le VCS.
Dernière mise à jour le

Il manque quelque chose ?

Voir notre feuille de route

S'abonner sur GitHub

Soumettre une demande

Statut de l’API