Intégrer GitHub avec BoostSecurity

---

BoostSecurity vous permet de connecter votre organisation GitHub et d'appliquer des contrôles de sécurité, y compris des contrôles de sécurité de la chaîne d'approvisionnement CI/CD et Dependabot.

---

Prérequis

---

En tant que prérequis à l'installation de l'application :

• Assurez-vous que vous avez une organisation GitHub et que les permissions suivantes sont en place.
• Assurez-vous d'avoir créé un dépôt .boost au sein de votre SCM organisationnel, qui doit contenir un fichier README.md.

---

Permissions

---

Cette intégration nécessitera les permissions suivantes :

• Accès en lecture - Actions, alertes Dependabot, webhooks, administration, métadonnées, alertes de scan de secrets, workflows et événements de sécurité.
• Accès en lecture et écriture - Contrôles, Problèmes, Demandes de tirage.

---

1. Connecter GitHub à BoostSecurity

---

Pour installer l'application GitHub sur votre organisation GitHub :

1. Allez dans Paramètres sur le panneau de navigation et sélectionnez Intégrations ; Paramètres > Intégrations.

   

2. Choisissez l'intégration GitHub dans la section Disponible.

   

3. Cliquez sur Installer : Vous serez redirigé vers l'application GitHub pour installer l'application BoostSecurity.

4. Sélectionnez l'organisation GitHub appropriée sur votre compte où vous souhaitez installer l'application BoostSecurity.

5. Choisissez d'installer l'application GitHub sur Tous les dépôts ou Seulement certains dépôts.

   Info

   Si vous installez l'application BoostSecurity sur Tous les dépôts, l'accès s'appliquera à tous les dépôts actuels et futurs. Cependant, installer l'application sur Seulement certains dépôts restreindrait l'accès de BoostSecurity à ces dépôts uniquement. Il est donc recommandé de l'installer pour tous les dépôts afin de simplifier l'ajout du scanner de sécurité BoostSecurity à de nouveaux dépôts.

   

6. Cliquez sur Installer et Autoriser.

Une fois l'installation terminée, la carte GitHub BoostSecurity est ajoutée à la section Paramètres > Intégrations > Installé. À ce stade, l'application GitHub BoostSecurity est installée sur votre organisation GitHub !!!

---

2. Provisionnement Zero Touch pour GitHub

---

Suivez ces étapes pour configurer le Provisionnement Zero Touch (ZTP) pour GitHub.

1. Allez sur la page Intégrations, sélectionnez votre intégration GitHub et cliquez sur l'onglet Configuration.

2. Dans la colonne ZTP, vous remarquerez que le statut est défini sur Not Set. Cliquez sur le menu à côté du statut et sélectionnez Enable.

   

3. Dans l'Assistant ZTP, la première étape consiste à donner à BoostSecurity les autorisations pour le flux Zero Touch sur votre organisation GitHub.

4. Cliquez sur le bouton Install ZTP Application pour être redirigé vers votre organisation GitHub.

   

5. Installez et autorisez le provisionnement Zero Touch de BoostSecurity.io sur toutes les organisations. Cliquez sur le bouton Install & Authorize en bas de la page.

   

6. BoostSecurity configure le dépôt .boost après l'installation réussie du provisionnement Zero Touch de BoostSecurity.io.

7. La configuration du pipeline est prête après une configuration réussie du dépôt .boost !

   

   Note

   En cliquant sur le bouton Enable Boost Recommended Scanners, Boost provisionnera plusieurs analyseurs par défaut pour chaque dépôt auquel il a accès. Ces analyseurs demanderont ensuite l'exécution de nouveaux scans pour chacun de ces dépôts. Veuillez noter que ce processus peut avoir un impact financier sur vos services ; assurez-vous donc que c'est la bonne décision avant de continuer.

   Si vous vous connectez à un grand nombre de dépôts, vous souhaiterez peut-être activer les scans de manière plus ciblée.

Le Provisionnement Zero Touch est maintenant activé !!!

---

3. Activer Dependabot et la Protection par Défaut du Scanner

---

Il est recommandé d'activer la protection par défaut du scanner et Dependabot pour votre organisation GitHub après une intégration réussie.

Pour ce faire,

1. Allez sur la page de Couverture des Scanners et sélectionnez la colonne Protection par Défaut du Scanner pour votre intégration GitHub.

2. Activez SBOM, SCA ou Secrets pour activer la protection par défaut du scanner BoostSecurity, et Dependabot pour activer le scanner pour votre intégration GitHub.