Vérifications de validité
Fonctionnement des vérifications de validité
Pour vous fournir des alertes très précises, GitGuardian tente de vérifier la validité des secrets via des appels API non intrusifs vers l'hôte, lorsque c'est possible.
La vérification de validité peut renvoyer 5 valeurs possibles :
- valid : le secret peut encore être exploité ; il doit être révoqué et fait pivoter.
- invalid : le secret a été révoqué.
- failed to check : GitGuardian n'a pas pu déterminer la validité du secret. Cela arrive lorsqu'on ne peut pas distinguer une erreur due à un secret invalide d'une allowlist IP ou d'un autre mécanisme bloquant la vérification. Cela peut aussi signifier que le fournisseur de service est temporairement indisponible.
- cannot check : le fournisseur ou le type de secret ne permet pas les vérifications par GitGuardian. Ce statut s'affiche aussi lorsque les vérifications de validité sont désactivées par un Manager de l'espace de travail.
- unknown : GitGuardian a récemment introduit un vérificateur de validité ; la validité de ce secret n'a pas encore été vérifiée.
GitGuardian exécute automatiquement les vérifications de validité en arrière-plan. La fréquence dépend de votre plan, du statut et de l'âge des incidents :
| Plan | Statut d'incident | Âge de l'incident | Fréquence |
|---|---|---|---|
| Business | Open | Moins d'un an | Quotidienne |
| Free | Open | Moins d'un an | Hebdomadaire |
| Business | Open | Plus d'un an | Hebdomadaire |
| Free | Open | Plus d'un an | Mensuelle |
| Business | Ignored | Moins d'un an | Mensuelle |
| Free | Ignored | Moins d'un an | Semestrielle |
| Business | Ignored | Plus d'un an | Semestrielle |
| Free | Ignored | Plus d'un an | Jamais |
| Business | Resolved | Moins d'un an | Mensuelle |
| Free | Resolved | Moins d'un an | Semestrielle |
| Business | Resolved | Plus d'un an | Semestrielle |
| Free | Resolved | Plus d'un an | Jamais |
Si vous utilisez GitGuardian en self-hosted, vous pouvez modifier ces fréquences dans votre admin area.
Activer et désactiver les vérifications de validité
Il est possible de désactiver les vérifications de validité pour l'ensemble de l'espace de travail GitGuardian.
Les nouveaux secrets qui pourraient être marqués valid ou invalid auront leur validité à unknown car le vérificateur associé est désactivé. Réactiver le vérificateur relancera le processus de vérification sur tous les incidents existants, lorsque c'est possible.
Ces paramètres s'appliquent aussi à l'API et à ggshield. Les détecteurs qui exigent des vérifications de validité activées pour être actifs seront désactivés ; les autres détecteurs renverront unknown pour la validité des secrets.
Certains détecteurs exigent que les vérifications de validité soient activées pour rester actifs. Si vous laissez les vérifications globalement désactivées, ces détecteurs seront désactivés et ne lèveront plus d'incidents.
Pour vérifier si un détecteur impose cette condition, consultez la page dédiée dans la documentation Secrets Detection et recherchez l'indicateur Only valid secrets raise an alert: True (ex. : Agora API keys).
Personnaliser les vérifications de validité
GitGuardian permet de personnaliser les vérifications de validité pour certains détecteurs en indiquant un hôte personnalisé.
Prenez le détecteur GitLab token. Par défaut, il vérifie les secrets contre gitlab.com (GitLab SaaS). Si vous disposez d'une instance GitLab self-hosted, vous pouvez fournir l'URL de votre instance. GitGuardian vérifiera alors les secrets GitLab token détectés contre votre environnement self-hosted.
Un point de terminaison de vérificateur de validité comprend :
- un hôte
- un chemin
Vous devez uniquement fournir l'hôte. GitGuardian réutilise le même chemin que l'hôte par défaut pour la vérification personnalisée.
Si le vérificateur du jeton GitLab est https://gitlab.com/the-route-to-check-the-validity,
il suffit d'indiquer l'hôte (par ex. https://my_gitlab.self_hosted_instance.corp) et GitGuardian construit https://my_gitlab.self_hosted_instance.corp/the-route-to-check-the-validity.
Lorsque vous soumettez un hôte personnalisé, tous les secrets déjà détectés pour ce détecteur sont revérifiés contre le nouvel hôte, pour garantir l'information de validité la plus à jour.
Seuls les détecteurs qui prennent en charge les vérifications de validité et possèdent l'attribut On-premise instance exist: True peuvent être personnalisés avec une URL d'hôte pour les vérifications.
Sous le plan Business, vous pouvez consulter la liste des détecteurs éligibles dans le tableau des détecteurs.
Cette fonctionnalité n'est disponible que pour les espaces de travail sous notre plan Business.
