Aller au contenu

Intégrer Bitbucket avec BoostSecurity

BoostSecurity vous permet de connecter votre organisation Bitbucket pour scanner les dépôts, les demandes de tirage et les commits de code à la recherche de problèmes de sécurité.

Prérequis

Avant d'installer l'application :

  • L'option Activer le mode développement doit être sélectionnée dans les paramètres Applications installées de votre espace de travail Bitbucket. Pour cela, allez dans les Paramètres de l'espace de travail de votre organisation Bitbucket > Applications installées et sélectionnez ensuite l'option Activer le mode développement.

    Activer le mode développement

  • Vous devez activer l'Authentification à Deux Facteurs, c'est-à-dire, 2FA activé. Pour activer 2FA, rendez-vous sur la page de vérification en deux étapes de Bitbucket, suivez les étapes fournies et cliquez sur Activer la vérification en deux étapes pour terminer le processus.

    Activer la vérification en deux étapes

  • Il est nécessaire que des applications de développement soient autorisées à être installées. Vous pouvez le faire en naviguant à cette URL https://bitbucket.org/<votre-org-bitbucket>/workspace/settings/addon-management. Remplacez <votre-org-bitbucket> par le nom de votre organisation Bitbucket.

Avant d'activer le Zero Touch Provisioning, assurez-vous également d'avoir :

  • Créé un dépôt .boost non vide dans l'espace de travail Bitbucket. Pour cela, allez dans votre espace de travail Bitbucket où vous avez installé BoostSecurity et créez un nouveau dépôt .boost contenant un fichier Readme.

    Dépôt Bitbucket Boost

  • Activé les paramètres Activer les Pipelines pour le dépôt .boost de votre espace de travail, c'est-à-dire, https://bitbucket.org/<votre-org-bitbucket>/.boost/admin/pipelines/settings. Vous pouvez le faire en cliquant sur le bouton Activer les Pipelines comme indiqué ci-dessus et en l'activant.

    Activer les Pipelines

Permissions

Cette intégration permet à BoostSecurity d'accéder à votre organisation Bitbucket et à vos dépôts, et d'appliquer des vérifications de sécurité, y compris des vérifications de sécurité de la chaîne d'approvisionnement CI/CD.

1. Connecter Bitbucket à BoostSecurity

Pour installer l'application BoostSecurity sur votre espace de travail Bitbucket, suivez ces étapes :

  1. Accédez à la vue d'intégration. C'est-à-dire, dans Paramètres > Intégrations. Sélectionnez l'intégration Bitbucket dans la section Disponibles.

  2. Sélectionnez Installer, et vous serez redirigé pour autoriser l'accès à BoostSecurity pour votre espace de travail.

    Installer Bitbucket

  3. Sélectionnez l'espace de travail Bitbucket approprié pour lequel vous souhaitez autoriser l'application BoostSecurity.

  4. Sélectionnez Accorder l'accès.

    Accorder l'accès

Une fois l'installation terminée, la carte BoostSecurity Bitbucket est ajoutée à la section Paramètres > Intégrations > Installé. À ce stade, l'application BoostSecurity est installée sur votre espace de travail Bitbucket.

Instance BitBucket installée

2. Zero Touch Provisioning pour Bitbucket

Suivez ces étapes pour configurer le ZTP pour Bitbucket :

  1. Allez sur la page des intégrations, sélectionnez votre intégration Bitbucket, et cliquez sur l'onglet de configuration.

  2. Dans la colonne ZTP, vous remarquerez que le statut est réglé sur Non défini. Cliquez sur le menu à côté du statut et sélectionnez Activer.

    Activer ZTP

  3. La première étape de l'assistant ZTP consiste à donner à BoostSecurity les permissions pour le Flux Zero Touch sur votre organisation Bitbucket.

  4. Cliquez sur le bouton Installer l'application ZTP pour vous rediriger vers votre organisation Bitbucket.

    Installer l'application ZTP

  5. Installez et autorisez le provisioning Zero Touch de BoostSecurity.io sur toutes les organisations. Cliquez sur le bouton Accorder l'accès en bas de la page.

    Accorder l'accès

  6. BoostSecurity configure le dépôt .boost après une installation réussie du provisioning Zero Touch de BoostSecurity.io.

  7. Vous devez accorder l'accès au provisioning CI de BoostSecurity.io sur votre compte.

    Accorder l'accès

    Veuillez noter l'avertissement ci-dessous :

    Veuillez vérifier que le paramètre 'Activer les Pipelines' est activé pour le dépôt .boost de votre organisation.

  8. La configuration du pipeline est prête après une configuration réussie du pipeline CI !

    ZTP réussi

    Note

    En cliquant sur le bouton Activer les scanners recommandés par Boost, Boost mettra à disposition plusieurs scanners pour chaque dépôt auquel il a accès. Ces scanners demanderont ensuite à réaliser de nouveaux scans pour chacun de ces dépôts. Veuillez noter que ce processus aura un impact financier sur vos services, alors assurez-vous que cela est la bonne démarche avant de continuer.

    Si vous vous connectez à une grande collection de dépôts, vous voudrez peut-être activer le scan de manière plus ciblée.

Le Zero Touch Provisioning est maintenant activé!!!

Prochaines étapes

Il est recommandé d'activer la protection par scanner par défaut pour votre organisation Bitbucket, puis de procéder à la création de votre première politique personnalisée, où vous définirez des actions spécifiques pour les événements de sécurité identifiés par les scanners configurés.