Aller au contenu principal

GitGuardian Bridge

GitGuardian Bridge étend GitGuardian SaaS avec un accès sécurisé à votre infrastructure privée via des tunnels chiffrés. Cette approche vous permet de tirer pleinement parti de la plateforme cloud de GitGuardian tout en maintenant un accès sécurisé à vos ressources internes.

Conçu avec la sécurité au cœur, GitGuardian Bridge utilise des connexions sortantes uniquement, une authentification TLS mutuelle, un chiffrement de bout en bout, une surface d'attaque minimale avec des images de conteneurs distroless, et fournit une journalisation d'audit complète pour une conformité totale.

info

GG Bridge est uniquement disponible pour :

  • Les workspaces sous plan Enterprise
  • Les clients SaaS US et EU

Qu'est-ce que GitGuardian Bridge ?

GitGuardian Bridge crée un tunnel chiffré, à connexion sortante uniquement, entre votre réseau privé et GitGuardian SaaS, vous permettant de :

  • Scanner des dépôts privés sans les exposer à Internet
  • Surveiller des services Self-Hosted tout en maintenant l'isolation réseau
  • Répondre aux exigences de conformité en gardant votre infrastructure sensible privée
  • Prendre en charge plusieurs réseaux avec des configurations de bridge distinctes

Considérations de coût

GitGuardian Bridge a les mêmes implications en termes de coût d'egress qu'un accès direct à GitGuardian SaaS. Prenez en compte le volume de données lors du scan de grands ensembles de données, et déployez votre bridge à proximité des sources de données pour minimiser les coûts de transfert réseau.

Intégrations prises en charge

GitGuardian Bridge fonctionne avec :

ServiceType
GitHub Enterprise ServerContrôle de version
GitLab Enterprise EditionContrôle de version
Bitbucket Data CenterContrôle de version
Azure DevOps ServerContrôle de version
JFrog ArtifactoryRegistre de conteneurs
Azure Container RegistryRegistre de conteneurs
Confluence Data CenterDocumentation
Microsoft OneDriveStockage de fichiers
Microsoft SharePoint OnlineStockage de fichiers
Jira Data CenterTicketing
ServiceNow (on-premise)Ticketing
Bring Your Own SourcesSources personnalisées
Custom webhooksNotifications
Splunk EnterpriseNotifications
Custom validity endpointsValidation de secrets
Secrets AnalyzersAnalyseurs de secrets
ggscoutNHI Governance
Prise en charge des Validity Checks

GitGuardian Bridge prend actuellement en charge les validity checks pour les détecteurs qui vous permettent de configurer des hôtes personnalisés (tels que les instances GitLab). Cependant, les validity checks ne sont pas encore pris en charge pour les détecteurs où GitGuardian extrait automatiquement les informations d'hôte à partir de l'emplacement où le secret est découvert (comme les chaînes de connexion PostgreSQL).

Contactez support@gitguardian.com si vous avez des questions.

Configurer GitGuardian Bridge

Étape 1 : Demander l'accès au bridge

Contactez support@gitguardian.com pour demander la fonctionnalité bridge pour votre compte. Précisez le nombre de bridges dont vous avez besoin (généralement un par segment de réseau isolé).

Étape 2 : Créer votre bridge

  1. Connectez-vous au Dashboard GitGuardian et naviguez vers Settings > Security > GitGuardian Bridge

  2. Cliquez sur "Create Bridge" Create GG Bridge

  3. Configurez votre bridge : nommez votre bridge (par exemple, "Production Network", "Dev Environment"), ajoutez éventuellement un Custom CA si vos services internes utilisent des certificats personnalisés, et ajoutez les noms de domaine des services internes (vous pouvez également le faire plus tard). Téléchargez ensuite le bundle de certificats et copiez l'URL du bridge. Configure GG Bridge

    Configuration du Custom CA

    Le champ Custom CA est requis lorsque vos services cibles utilisent des certificats signés par une autorité de certification (CA) personnalisée. Vous devez fournir la chaîne de certificats complète au format PEM, y compris :

    • Le certificat Root CA
    • Tous les certificats CA intermédiaires (le cas échéant)

    Pour exporter la chaîne de certificats depuis votre service :

    openssl s_client -showcerts -connect your-internal-service.com:443 -servername your-internal-service.com </dev/null 2>/dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > bundle.pem

    Exemple de format PEM :

    -----BEGIN CERTIFICATE-----
    MIIDXTCCAkWgAwIBAgIJAKoK/OvD... (Root CA)
    ...certificate content...
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    MIIDbTCCAlWgAwIBAgIJAKoK/OvD... (Intermediate CA)
    ...certificate content...
    -----END CERTIFICATE-----

    Vous pouvez également exporter les certificats Root CA et Intermediate CA depuis votre navigateur et les concaténer dans un seul fichier : Export CA from browser

    Sans une configuration Custom CA appropriée, GitGuardian Bridge ne pourra pas établir de connexions sécurisées avec vos services internes et échouera avec des erreurs de vérification SSL.

Étape 3 : Configurer le client bridge

Déployez le client bridge dans votre réseau privé en utilisant le bundle de certificats et l'URL du bridge de l'étape 2.

📋 Suivez le guide d'installation détaillé : github.com/GitGuardian/ggbridge

Le dépôt fournit des instructions complètes pour :

  • Le déploiement en VM (via k3s)
  • Le déploiement Kubernetes/Helm
  • Les configurations OpenShift
  • Les guides de dépannage
Important

Assurez-vous d'ajouter l'URL du bridge à la liste blanche dans les paramètres de sécurité de votre réseau afin d'autoriser les connexions sortantes de votre réseau privé vers GitGuardian SaaS.

Étape 4 : Configurer le mappage d'URL (si non effectué lors de la création)

Si vous n'avez pas ajouté de noms de domaine lors de la création du bridge, rendez-vous dans les paramètres de votre bridge et ajoutez les noms de domaine des services internes qui doivent être routés via le bridge :

  • gitlab.internal.company.com
  • bitbucket.team.local
  • artifactory.dev.internal

Configure URL Mapping

GitGuardian acheminera automatiquement le trafic vers ces URLs via votre bridge.

Étape 5 : Configurer vos intégrations

Configurez vos services Self-Hosted dans le Dashboard GitGuardian :

  1. Sources : Naviguez vers Settings > Integrations > Sources
  2. Destinations : Naviguez vers Settings > Integrations > Destinations
  3. Custom Hosts : Naviguez vers Settings > Secrets > Detectors.

Exemple avec GitHub Enterprise :

Example Sources Integration Settings

Lorsque vous saisissez des URLs qui correspondent à votre configuration bridge, GitGuardian utilise automatiquement la connexion bridge.

Vérifier que tout fonctionne

  • Statut du bridge : Consultez Settings > Security > GitGuardian Bridge pour l'état de la connexion
  • Santé des intégrations : Surveillez les vérifications de santé de vos sources/destinations
  • Scans de test : Exécutez un scan de test sur un dépôt privé
Commencer petit

Avant de lancer des scans à grande échelle, nous vous recommandons de commencer par un petit lot de dépôts/sources pour confirmer que le bridge fonctionne correctement. Cette approche permet de :

  • Vérifier la connectivité et l'authentification
  • Valider les configurations de certificats
  • Tester la santé de l'intégration sans surcharger votre réseau
  • Identifier et résoudre rapidement tout problème de configuration

Une fois que vous avez confirmé que tout fonctionne correctement avec le petit lot, vous pouvez procéder à des opérations de scan à plus grande échelle.

Pour toute assistance, contactez le support.