GitGuardian Bridge
GitGuardian Bridge étend GitGuardian SaaS avec un accès sécurisé à votre infrastructure privée via des tunnels chiffrés. Cette approche vous permet de tirer pleinement parti de la plateforme cloud de GitGuardian tout en maintenant un accès sécurisé à vos ressources internes.
Conçu avec la sécurité au cœur, GitGuardian Bridge utilise des connexions sortantes uniquement, une authentification TLS mutuelle, un chiffrement de bout en bout, une surface d'attaque minimale avec des images de conteneurs distroless, et fournit une journalisation d'audit complète pour une conformité totale.
GG Bridge est uniquement disponible pour :
- Les workspaces sous plan Enterprise
- Les clients SaaS US et EU
Qu'est-ce que GitGuardian Bridge ?
GitGuardian Bridge crée un tunnel chiffré, à connexion sortante uniquement, entre votre réseau privé et GitGuardian SaaS, vous permettant de :
- Scanner des dépôts privés sans les exposer à Internet
- Surveiller des services Self-Hosted tout en maintenant l'isolation réseau
- Répondre aux exigences de conformité en gardant votre infrastructure sensible privée
- Prendre en charge plusieurs réseaux avec des configurations de bridge distinctes
Considérations de coût
GitGuardian Bridge a les mêmes implications en termes de coût d'egress qu'un accès direct à GitGuardian SaaS. Prenez en compte le volume de données lors du scan de grands ensembles de données, et déployez votre bridge à proximité des sources de données pour minimiser les coûts de transfert réseau.
Intégrations prises en charge
GitGuardian Bridge fonctionne avec :
| Service | Type |
|---|---|
| GitHub Enterprise Server | Contrôle de version |
| GitLab Enterprise Edition | Contrôle de version |
| Bitbucket Data Center | Contrôle de version |
| Azure DevOps Server | Contrôle de version |
| JFrog Artifactory | Registre de conteneurs |
| Azure Container Registry | Registre de conteneurs |
| Confluence Data Center | Documentation |
| Microsoft OneDrive | Stockage de fichiers |
| Microsoft SharePoint Online | Stockage de fichiers |
| Jira Data Center | Ticketing |
| ServiceNow (on-premise) | Ticketing |
| Bring Your Own Sources | Sources personnalisées |
| Custom webhooks | Notifications |
| Splunk Enterprise | Notifications |
| Custom validity endpoints | Validation de secrets |
| Secrets Analyzers | Analyseurs de secrets |
| ggscout | NHI Governance |
GitGuardian Bridge prend actuellement en charge les validity checks pour les détecteurs qui vous permettent de configurer des hôtes personnalisés (tels que les instances GitLab). Cependant, les validity checks ne sont pas encore pris en charge pour les détecteurs où GitGuardian extrait automatiquement les informations d'hôte à partir de l'emplacement où le secret est découvert (comme les chaînes de connexion PostgreSQL).
Contactez support@gitguardian.com si vous avez des questions.
Configurer GitGuardian Bridge
Étape 1 : Demander l'accès au bridge
Contactez support@gitguardian.com pour demander la fonctionnalité bridge pour votre compte. Précisez le nombre de bridges dont vous avez besoin (généralement un par segment de réseau isolé).
Étape 2 : Créer votre bridge
-
Connectez-vous au Dashboard GitGuardian et naviguez vers Settings > Security > GitGuardian Bridge
-
Cliquez sur "Create Bridge"

-
Configurez votre bridge : nommez votre bridge (par exemple, "Production Network", "Dev Environment"), ajoutez éventuellement un Custom CA si vos services internes utilisent des certificats personnalisés, et ajoutez les noms de domaine des services internes (vous pouvez également le faire plus tard). Téléchargez ensuite le bundle de certificats et copiez l'URL du bridge.
Configuration du Custom CALe champ Custom CA est requis lorsque vos services cibles utilisent des certificats signés par une autorité de certification (CA) personnalisée. Vous devez fournir la chaîne de certificats complète au format PEM, y compris :
- Le certificat Root CA
- Tous les certificats CA intermédiaires (le cas échéant)
Pour exporter la chaîne de certificats depuis votre service :
openssl s_client -showcerts -connect your-internal-service.com:443 -servername your-internal-service.com </dev/null 2>/dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > bundle.pemExemple de format PEM :
-----BEGIN CERTIFICATE-----MIIDXTCCAkWgAwIBAgIJAKoK/OvD... (Root CA)...certificate content...-----END CERTIFICATE----------BEGIN CERTIFICATE-----MIIDbTCCAlWgAwIBAgIJAKoK/OvD... (Intermediate CA)...certificate content...-----END CERTIFICATE-----Vous pouvez également exporter les certificats Root CA et Intermediate CA depuis votre navigateur et les concaténer dans un seul fichier :

Sans une configuration Custom CA appropriée, GitGuardian Bridge ne pourra pas établir de connexions sécurisées avec vos services internes et échouera avec des erreurs de vérification SSL.
Étape 3 : Configurer le client bridge
Déployez le client bridge dans votre réseau privé en utilisant le bundle de certificats et l'URL du bridge de l'étape 2.
📋 Suivez le guide d'installation détaillé : github.com/GitGuardian/ggbridge
Le dépôt fournit des instructions complètes pour :
- Le déploiement en VM (via k3s)
- Le déploiement Kubernetes/Helm
- Les configurations OpenShift
- Les guides de dépannage
Assurez-vous d'ajouter l'URL du bridge à la liste blanche dans les paramètres de sécurité de votre réseau afin d'autoriser les connexions sortantes de votre réseau privé vers GitGuardian SaaS.
Étape 4 : Configurer le mappage d'URL (si non effectué lors de la création)
Si vous n'avez pas ajouté de noms de domaine lors de la création du bridge, rendez-vous dans les paramètres de votre bridge et ajoutez les noms de domaine des services internes qui doivent être routés via le bridge :
gitlab.internal.company.combitbucket.team.localartifactory.dev.internal

GitGuardian acheminera automatiquement le trafic vers ces URLs via votre bridge.
Étape 5 : Configurer vos intégrations
Configurez vos services Self-Hosted dans le Dashboard GitGuardian :
- Sources : Naviguez vers Settings > Integrations > Sources
- Destinations : Naviguez vers Settings > Integrations > Destinations
- Custom Hosts : Naviguez vers Settings > Secrets > Detectors.
Exemple avec GitHub Enterprise :

Lorsque vous saisissez des URLs qui correspondent à votre configuration bridge, GitGuardian utilise automatiquement la connexion bridge.
Vérifier que tout fonctionne
- Statut du bridge : Consultez Settings > Security > GitGuardian Bridge pour l'état de la connexion
- Santé des intégrations : Surveillez les vérifications de santé de vos sources/destinations
- Scans de test : Exécutez un scan de test sur un dépôt privé
Avant de lancer des scans à grande échelle, nous vous recommandons de commencer par un petit lot de dépôts/sources pour confirmer que le bridge fonctionne correctement. Cette approche permet de :
- Vérifier la connectivité et l'authentification
- Valider les configurations de certificats
- Tester la santé de l'intégration sans surcharger votre réseau
- Identifier et résoudre rapidement tout problème de configuration
Une fois que vous avez confirmé que tout fonctionne correctement avec le petit lot, vous pouvez procéder à des opérations de scan à plus grande échelle.
Pour toute assistance, contactez le support.