Conservation des données
GitGuardian prend très au sérieux la collecte et la confidentialité des données.
Pour assurer une surveillance efficace, GitGuardian doit traiter de multiples données et ne collecte que ce qui est réellement nécessaire pour répondre aux attentes de surveillance et de remédiation du produit.
Commits avec incidents uniquement
Comme expliqué dans la section Comment fonctionne Internal Monitoring, GitGuardian s'intègre à votre VCS côté serveur. Par conséquent, chaque commit atteignant le serveur et appartenant au périmètre sera scanné à la recherche de secrets.
Un commit se compose de :
- son contenu réel : les patches contenant les ajouts et/ou suppressions de code dans les différents fichiers. Un commit peut comporter plusieurs patches.
- ses métadonnées :
- date du commit
- date de l'auteur
- email du committer
- nom du committer
- email de l'auteur
- nom de l'auteur
- SHA du commit
GitGuardian collecte :
-
Les métadonnées de tous les événements, principalement des événements push. Les métadonnées des événements push contiennent les métadonnées des commits. Nous faisons cela afin de garder une trace de toute l'activité et de calculer les analytics.
-
Le patch précis des commits pour lesquels GitGuardian a détecté des secrets. Cela permet d'afficher le secret dans le tableau de bord pour aider à la remédiation. De plus, si l'historique git est réécrit par le développeur, GitGuardian devient le seul endroit où l'équipe sécurité peut accéder au secret pour effectuer la remédiation et vérifier les journaux d'accès.
Que se passe-t-il pendant les scans historiques ?
Lors d'un scan historique, GitGuardian parcourt tous les commits existants du dépôt sur l'ensemble des branches. Les patches contenant des secrets sont collectés pour les mêmes raisons que mentionnées ci-dessus. Les autres commits ne sont pas collectés. Nous collectons également certaines métadonnées sur le scan historique effectué afin de calculer les analytics et d'améliorer la robustesse des algorithmes :
- Nombre de commits scannés
- Nombre de branches scannées
Métadonnées des sources du périmètre
Lorsque vous intégrez GitGuardian, vous autorisez la surveillance de dépôts GitHub ou de projets GitLab spécifiques que vous possédez. Ils constituent les sources de votre périmètre. GitGuardian collecte les métadonnées de ces sources :
- Nom
- Taille (en octets)
- Visibilité (public/privé)
- Identifiant unique du VCS
- Nombre d'étoiles
- Nombre de forks
- Nombre de watchers
Nous utilisons ces informations pour vous donner une vue d'ensemble des analytics de votre périmètre et la possibilité de filtrer les incidents de secrets par source. Les métadonnées sont également cruciales pour permettre une intégration fluide entre GitGuardian et votre VCS.
Informations de base sur les membres du VCS
GitGuardian dispose d'un accès en lecture aux membres de votre VCS :
- Membres de votre organisation GitHub (membres privés et publics)
- Membres de votre instance GitLab dans le cas d'une intégration au niveau de l'instance.
Il est nécessaire pour GitGuardian de calculer le nombre de sièges à des fins de facturation.
Si vous préférez avoir vos données complètement isolées, vous pouvez envisager d'auto-héberger GitGuardian.
SaaS Europe : conformité RGPD
Pour les clients de l'Union européenne, GitGuardian propose une solution SaaS entièrement conforme au Règlement général sur la protection des données (RGPD). Cela garantit que tous les traitements et la conservation des données respectent les règles strictes de confidentialité et de protection des données imposées par le RGPD. Les données sont stockées et traitées au sein de l'UE, offrant tranquillité d'esprit et garantie de conformité aux organisations basées dans l'UE.
Si cela vous intéresse, veuillez contacter l'équipe GitGuardian à support@gitguardian.com. Veuillez noter que nous ne prenons pas en charge la migration d'un workspace existant de notre plateforme US vers la plateforme EU pour le moment.
