Aller au contenu

Intégrer GitHub avec BoostSecurity

BoostSecurity vous permet de connecter votre organisation GitHub et d'appliquer des contrôles de sécurité, y compris des contrôles de sécurité de la chaîne d'approvisionnement CI/CD et Dependabot.

Prérequis

Avant d'installer l'application :

  • Assurez-vous d'avoir une organisation GitHub et les autorisations nécessaires en place.
  • Assurez-vous d'avoir créé un dépôt .boost dans votre SCM d'organisation, qui doit contenir un fichier README.md.

Autorisations

Cette intégration utilisera les autorisations suivantes :

  • Accès en lecture - Actions, alertes Dependabot, webhooks, administration, métadonnées, alertes de scan de secrets, workflows et événements de sécurité.
  • Accès en lecture & écriture - Vérifications, Problèmes, Pull Requests.

1. Connecter GitHub à BoostSecurity

Pour installer l'application GitHub sur votre organisation GitHub :

  1. Accédez aux paramètres dans le panneau de navigation et sélectionnez Intégrations ; Paramètres > Intégrations.

    Paramètres et Intégrations

  2. Sélectionnez l'intégration GitHub dans la section Disponible.

    SCM GitHub

  3. Sélectionnez Installer : Vous serez dirigé vers l'application GitHub pour installer l'application BoostSecurity GitHub.

  4. Sélectionnez l'organisation GitHub appropriée de votre compte sur laquelle vous souhaitez installer l'application BoostSecurity GitHub.

  5. Choisissez d'installer l'application GitHub sur Tous les dépôts ou Seulement des dépôts sélectionnés. Il est recommandé de l'installer pour tous les dépôts afin de simplifier l'ajout du scanner de sécurité à de nouveaux dépôts.

    Accès au dépôt

  6. Sélectionnez Installer et Autoriser.

Une fois l'installation terminée, la carte GitHub BoostSecurity est ajoutée à la section Paramètres > Intégrations > Installé. À ce stade, l'application GitHub BoostSecurity est installée sur votre organisation GitHub !!!

GitHub Installé

2. Provisionnement Zero Touch pour GitHub

Suivez ces étapes pour configurer le Provisionnement Zero Touch (ZTP) pour GitHub.

  1. Allez sur la page des Intégrations, sélectionnez votre intégration GitHub puis cliquez sur l'onglet Configuration.

  2. Dans la colonne ZTP, vous remarquerez que le statut est défini sur Non défini. Cliquez sur le menu à côté du statut et sélectionnez Activer.

    Activer ZTP

  3. Dans l'assistant ZTP, la première étape consiste à donner à BoostSecurity les autorisations nécessaires pour le flux Zero Touch sur votre organisation GitHub.

  4. Cliquez sur le bouton Installer l'application ZTP pour vous rediriger vers votre organisation GitHub.

    Sélectionner l'Organisation

  5. Installez et autorisez le provisionnement Zero Touch BoostSecurity.io sur toutes les organisations. Cliquez sur le bouton Installer & Autoriser en bas de la page.

    Installer ZTP sur les Org

  6. BoostSecurity configure le dépôt .boost après une installation réussie du provisionnement Zero Touch BoostSecurity.io.

  7. La configuration du pipeline est prête après une configuration réussie du dépôt .boost !

    ZTP Réussi

    Note

    En cliquant sur le bouton Activer les scanners recommandés par Boost, Boost provisionnera plusieurs défauts pour chaque dépôt auquel il a accès. Ces scanners demanderont ensuite de nouveaux scans à effectuer pour chacun de ces dépôts. Veuillez noter que ce processus aurait un impact financier sur vos services, alors assurez-vous que c'est la bonne démarche avant de continuer.

    Si vous vous connectez à un grand nombre de dépôts, vous voudrez peut-être activer le scan de manière plus ciblée.

Le Provisionnement Zero Touch est maintenant activé !!!

Étapes suivantes

Il est recommandé d'activer la protection par défaut des scanners pour votre organisation GitHub, et de procéder à la création de votre première politique personnalisée, où vous définiriez des actions spécifiques pour les événements de sécurité identifiés par les scanners configurés.