Intégrer GitLab avec BoostSecurity

---

BoostSecurity vous permet de connecter votre instance GitLab pour scanner les dépôts, provisionner des analyseurs de sécurité sur les dépôts, et fusionner des commits pour les problèmes de sécurité.

---

Prérequis

---

Pour intégrer GitLab à BoostSecurity, vous aurez besoin des éléments suivants :

• Créer un jeton d'accès GitLab avec la portée api sélectionnée. Ce jeton d'accès peut être :

  • Un Jeton d'accès personnel
  • Un Jeton d'accès de groupe
  • Un Jeton de compte de service

  Dans tous les cas, le jeton doit avoir la portée api activée.

  • Il est conseillé d'utiliser un compte GitLab protégé et non humain (tel qu'un compte de service ou un utilisateur bot) pour générer le jeton. L'utilisation d'un jeton lié au compte personnel d'un individu augmente le risque que l'intégration échoue si cet utilisateur est désengagé ou supprimé en raison de changements internes.

  • L'entité associée au jeton (qu'elle soit personnelle, de groupe ou de service) doit avoir les permissions Propriétaire pour les dépôts au sein des groupes GitLab ingérés dans Boost.

• Créez un dépôt boost au sein de l'outil SCM de votre organisation, qui doit contenir un fichier README.md. Pour ce faire, allez dans votre organisation GitLab où vous avez installé BoostSecurity et créez un nouveau projet boost contenant un fichier Readme.

  

  • Assurez-vous qu'au moins les propriétaires du dépôt boost peuvent définir des variables de pipeline. Dans Paramètres GitLab --> CI/CD --> Variables, définissez le rôle minimal autorisé à utiliser les variables de pipeline sur le rôle Propriétaire.

  

---

1. Connecter GitLab à BoostSecurity

---

Pour installer l'intégration BoostSecurity pour GitLab :

1. Accédez à la page des Intégrations.

2. Sélectionnez l'intégration GitLab dans la section Disponible et cliquez sur le bouton Installer.

   

3. Une fenêtre vous invite à fournir le Jeton d'accès à GitLab. Fournissez le Jeton d'accès avec la portée api sélectionnée et cliquez sur Suivant.

   

4. Sélectionnez le groupe dans GitLab : Une fois le Jeton d'accès fourni, le groupe GitLab qui active l'intégration doit être sélectionné dans le menu.

   

5. Cliquez sur Terminer.

Une fois l'installation terminée, la carte BoostSecurity GitLab est ajoutée à la section Paramètres > Intégrations > Installé. À ce stade, l'intégration BoostSecurity est activée pour votre groupe GitLab. Notez que les étapes peuvent être répétées pour permettre l'intégration avec d'autres groupes GitLab.

---

2. Zero Touch Provisioning pour GitLab

---

1. Allez sur la page des Intégrations, sélectionnez votre intégration GitLab et cliquez sur l'onglet de configuration.

2. Dans la colonne ZTP, vous remarquerez que le statut est réglé sur Not Set. Cliquez sur le menu à côté du statut et sélectionnez Enable.

   

3. L'assistant ZTP configure le dépôt boost de votre organisation GitLab, où se trouve la définition du pipeline GitLab (.gitlab-ci.yml).

   

4. Sélectionnez le dépôt boost de votre organisation dans le menu déroulant comme indiqué ci‑dessus et cliquez sur le bouton Suivant.

5. Autorisez le provisionnement CI de BoostSecurity.io sur toutes les organisations. Cliquez sur le bouton Autoriser en bas de la page.

   

6. La configuration du pipeline est terminée après la réussite de la configuration du pipeline CI !

   Note

   En cliquant sur le bouton Activer les scanners recommandés par Boost, Boost provisionnera plusieurs scanners pour chaque dépôt auquel il a accès. Ces scanners demanderont ensuite l'exécution de nouveaux scans pour chacun de ces dépôts. Veuillez noter que ce processus peut avoir un impact financier sur vos services ; assurez-vous que c'est la bonne démarche avant de poursuivre.

   Si vous vous connectez à un grand nombre de dépôts, vous souhaiterez peut‑être activer le scanning de manière plus ciblée.

Le Zero Touch Provisioning est maintenant activé!!!

---

3. Protection par Défaut du Scanner

---

Après avoir intégré avec succès votre organisation GitLab, il est recommandé d'activer le scanner BoostSecurity.

Pour ce faire :

1. Accédez à la page de Couverture du Scanner et sélectionnez la colonne Protection par Défaut du Scanner pour votre intégration GitLab.

2. Basculez SBOM, SAST, SCA, ou Secrets pour activer la protection par défaut du Scanner BoostSecurity sur votre ressource GitLab.

   

---

Modifier une intégration BoostSecurity GitLab installée

---

Si un ajustement doit être apporté à une intégration GitLab installée, suivez les instructions suivantes :

1. Accédez à la page des Intégrations.

2. Cliquez sur la carte d'intégration GitLab sous la section Installé.

   

3. Cliquez sur l'onglet Configuration.

   

4. Cliquez sur l'icône en forme de crayon associée à l'intégration GitLab que vous souhaitez modifier.

   

5. Fournissez un Jeton d'accès qui a la portée api et cliquez sur Mettre à jour.