対応プラットフォーム
| プラットフォーム | URL |
|---|---|
| GitGuardian US(SaaS) | https://dashboard.gitguardian.com |
| GitGuardian EU(SaaS) | https://dashboard.eu1.gitguardian.com |
| GitGuardian セルフホスト | インスタンス URL(例:https://gitguardian.your-company.com) |
前提条件
- レビューしたいインシデントへのアクセス権を持つ GitGuardian ワークスペース。
- CloudThinker がアクセスすべきデータのスコープを持つ Personal Access Token。
- ハニートークンの作成には:ワークスペースの Manager ロール。
PAT は付与したスコープと、作成したワークスペースメンバーのロールを継承します。CloudThinker が必要とする範囲をカバーしつつも最小権限のメンバーから発行してください。
セットアップ
Personal Access Token を作成する
サイドバーで Settings をクリックし、API → Personal Access Tokens に移動して Create token をクリックします:
- Name:
cloudthinker - Expiration: ローテーション期間を設定
- Scopes: CloudThinker がアクセスすべきデータのスコープを選択(まずは
incidentsから始めることを推奨)
接続の詳細
| フィールド | 説明 | 例 |
|---|---|---|
| GITGUARDIAN_URL | GitGuardian ダッシュボードまたはインスタンスの URL | https://dashboard.gitguardian.com |
| GITGUARDIAN_PERSONAL_ACCESS_TOKEN | GitGuardian Personal Access Token | — |
CloudThinker は URL から API エンドポイントを自動的に判別するため、US、EU、セルフホストのいずれの形式でも追加設定なしに動作します。
必要な権限
GitGuardian のアクセスは スコープ駆動型 です。各 PAT スコープが対応する機能ファミリーを解放します。機能が欠けている場合、接続の問題ではなくトークンにそのスコープが不足していることがほとんどです。 CloudThinker がアクセスすべきデータのスコープを選択してください。インシデントのトリアージにはincidents から始め、必要に応じて追加してください。
| スコープ | 有効になる機能 |
|---|---|
scanning | コンテンツに対してシークレットおよびセキュリティスキャンを実行する |
incidents | シークレットインシデントの参照、確認、管理 |
secrets | 検出されたシークレットとその発生場所の詳細にアクセスする |
sources | 監視中のソース(リポジトリ)を一覧表示・確認する |
custom_tags | カスタムタグの読み取りと管理 |
honeytokens | ハニートークンの一覧表示と作成 |
members | ワークスペースメンバーの表示と管理 |
teams | チームの表示と管理 |
audit_logs | ワークスペースの監査ログの読み取り |
api_tokens | API トークンの表示と管理 |
ip_allowlist | IP 許可リストの表示と管理 |
health_checks | 接続とトークンのヘルスを検証する |
エージェントの機能
接続後、エージェントは GitGuardian ワークスペースへのスコープ制御アクセスを持ちます。| 機能 | 説明 |
|---|---|
| インシデントの参照 | シークレットインシデントの一覧表示・確認(ステータスと深刻度を含む) |
| インシデントの調査 | トリアージのために漏洩した認証情報、ソース、発生場所をレビューする |
| ハニートークン | ハニートークンの一覧表示。Manager ロールがあれば新規作成も可能 |
| トークンの確認 | 接続済みトークンのスコープと機能を報告する |
接続を確認する
プロンプト例
トラブルシューティング
一部の GitGuardian ツールが表示されない
一部の GitGuardian ツールが表示されない
PAT に対応するスコープが不足しています。必要な GitGuardian スコープを追加して再発行または更新し、再接続してください。
GitGuardian から 401 Unauthorized が返る
GitGuardian から 401 Unauthorized が返る
GitGuardian から 403 Forbidden が返る
GitGuardian から 403 Forbidden が返る
トークンのスコープまたはワークスペースのロールが不十分です。必要なスコープまたはワークスペースロールを付与してください。ハニートークンへの書き込みには Manager ロールが必要です。
リージョンまたはインスタンスが間違っている
リージョンまたはインスタンスが間違っている
インシデントが空になるか、エンドポイントに到達できません。GitGuardian URL がワークスペースのリージョン(US、EU)またはセルフホストインスタンスと一致していることを確認してください。
セキュリティ
- 最小権限 — エージェントがユースケースに必要な権限のみを付与します。まず読み取り専用から始め、後から拡張してください。
- デフォルトで読み取り専用 — エージェントにこの接続で変更を行わせる場合を除き、読み取り専用の認証情報を使用してください。
- 認証情報のローテーション — 通常のスケジュールに従ってキーとトークンをローテーションしてください。接続を更新すると、CloudThinker が新しい値を自動的に取得します。
- オフボーディング時に失効 — 接続を削除するか、チームメンバーが退職する際には、プロバイダー側で認証情報を無効化してください。
- スコープ駆動型アクセス — CloudThinker が必要なスコープのみ付与してください。スコープで読み取り専用アクセスが提供されている場合は読み取り専用を優先してください。
- 書き込みには Manager ロール — ハニートークンを作成する必要があるセットアップのために Manager ロールのトークンを確保し、ハニートークンの作成を承認ゲート付きに維持してください。
関連
SonarQube 接続
コード品質とセキュリティスキャン
Atlassian 接続
インシデントを Jira 課題として追跡する