Fonctionnalités de sécurité de TeamCity

Implémentez plusieurs couches de protection contre les cyberattaques en fonction des besoins de votre organisation.

La sécurité de votre serveur de CI/CD est notre priorité absolue

La protection de votre serveur de CI nécessite une approche à plusieurs facettes, avec des défenses en place à chaque couche de la pile. C'est pourquoi nous avons placé la sécurité au cœur de TeamCity. Grâce à un éventail de fonctionnalités conçues pour améliorer la sécurité de votre processus d'intégration et de déploiement continu, TeamCity vous aide à défendre l'intégrité de votre code source et de vos systèmes.

Conforme SOC 2 Type II

Décernée aux organisations qui ont prouvé leur capacité à mettre en œuvre et à maintenir des contrôles de sécurité efficaces sur une période spécifique, la certification SOC 2 Type II souligne l'engagement de TeamCity en faveur de la sécurité.

Conforme au RGPD

Comme dans toute la gamme de produits JetBrains, nous traitons les données personnelles de nos clients conformément au Règlement général sur la protection des données (RGPD).

Audits de sécurité réguliers

TeamCity prend la sécurité au sérieux et organise des audits réguliers (notamment des tests d'intrusion approfondis) pour renforcer son infrastructure et garantir une protection solide à ses utilisateurs. Ces audits sont menés par Cure53, une société de cybersécurité bien connue.

Contactez-nous si vous souhaitez recevoir les résultats du plus récent audit.

Demander les résultats d'audit

Fonctionnalités de sécurité TeamCity pour chaque étape de votre processus de CI/CD

Identité, authentification et autorisation

Méthodes d'authentification

TeamCity propose un choix de modules d'authentification combinés à des autorisations très précises pour configurer vos accès pour chaque projet.

Intégrations avancées

Intégrez TeamCity à votre service d'hébergement VCS, votre serveur LDAP ou votre configuration NTLM pour gérer automatiquement les comptes utilisateurs et implémenter l'authentification à deux facteurs (2FA) ou la vérification par e-mail pour renforcer la sécurité.

Le principe du moindre privilège

TeamCity offre des rôles préconfigurés disponibles immédiatement après l'installation. Vous pouvez aussi utiliser un contrôle d'accès basé sur les rôles et configuré sur mesure pour refléter la hiérarchie de votre organisation et appliquer le principe du moindre privilège. Ne donnez aux utilisateurs que les droits d'accès dont ils ont besoin.

API REST

Pour les requêtes adressées à l'API REST de TeamCity, les jetons d'accès de courte durée permettent le niveau d'accès requis en minimisant la surface d'attaque potentielle.

Gestion des secrets

TeamCity prend en charge l'utilisation de jetons et de secrets pour le stockage sécurisé d'informations sensibles, telles que les clés API et les informations d'identification.

Coffres de gestion des secrets

Gérez les secrets et les informations d'identification requis pour provisionner des environnements ou accéder à des systèmes tiers dans votre propre coffre HashiCorp Vault ou Azure Key Vault. Quelle que soit la source, tous les secrets sont automatiquement masqués dans les journaux de build pour éviter qu'ils ne tombent entre de mauvaises mains.

Environnements de build jetables

En raison de leur accès aux dépôts de code source et de leur capacité à exécuter des commandes sur votre infrastructure, les agents de build constituent une cible de grande valeur pour les cyberattaquant·es. C'est pourquoi TeamCity fournit toutes les fonctionnalités dont vous avez besoin pour atténuer ces risques.

Agents de build jetables

Limiter la durée de vie d'un agent de build réduit le risque de compromission. Avec TeamCity, vous pouvez utiliser des agents de build jetables pour actualiser automatiquement vos environnements de build au début de chaque exécution de pipeline.

Groupes d'agents

Utilisez les pools d'agents de TeamCity pour déterminer quelles tâches peuvent s'exécuter sur chaque agent et séparer les pipelines à haut risque des autres workflows.

Checkout propre

Assurez un accès sécurisé à vos systèmes de contrôle de version à l'aide de clés SSH et utilisez la fonctionnalité de checkout propre de TeamCity pour récupérer une nouvelle copie du code source pour chaque exécution de pipeline.

Sécurisez votre pipeline de CI/CD avec TeamCity

TeamCity Cloud

Une solution de CI/CD sécurisée entièrement gérée par JetBrains pour les équipes qui préfèrent utiliser les services cloud.

TeamCity On-Premises

Une solution de CI/CD autohébergée pour les entreprises qui souhaitent davantage de contrôle sur leurs processus d'intégration et de déploiement continus.

Protection du processus

Votre pipeline de CI/CD doit vous donner une totale confiance dans vos dernières modifications de code avant de les déployer. L'automatisation du processus garantit l'application systématique des contrôles.

Il est donc essentiel que toute modification apportée au pipeline soit examinée avant d'être appliquée. Les autorisations de pipeline, les journaux d'audit et la configuration sous forme de code de TeamCity sont tous conçus pour vous donner un contrôle et une visibilité complets sur votre processus d'intégration et de déploiement continu.

Permissions granulaires

Grâce au modèle d'autorisations granulaires de TeamCity, vous pouvez restreindre l'accès en modification aux paramètres du pipeline et empêcher que des étapes critiques ne soient contournées ou modifiées. Utilisez des paramètres imposés pour garantir que les contrôles de sécurité critiques sont toujours appliqués. Surveillez et retracez les modifications apportées aux paramètres de build ou de projet à partir du journal d'audit.

Configuration en tant que code

Configurez la logique de votre pipeline sous forme de code avec un DSL Kotlin ou XML. Enregistrez les paramètres de votre pipeline dans le contrôle de code source et soumettez toutes les modifications à une révision de code pour réduire le risque d'appliquer des modifications non sécurisées.

Journaux de build détaillés

Dans le cas où la sécurité serait compromise, les journaux de build de TeamCity fournissent une piste d'audit capitale pour vous aider à retrouver l'origine de la fuite et à évaluer l'étendue des dommages.

Fonctionnalité d'approbation de build

Implémentez une étape de confirmation manuelle avant les étapes critiques du pipeline grâce à la fonctionnalité d'approbation de build de TeamCity.

Auditez tout changement

Suivez les actions individuelles grâce à la fonctionnalité d'audit de TeamCity. Identifiez qui est responsable de l'attribution des rôles, de l'ajout d'utilisateurs aux groupes, de la modification des configurations de build ainsi que d'autres activités.

Intégration de Let's Encrypt

Let's Encrypt est une autorité de certification (CA) à but non lucratif qui fournit des certificats TLS fiables aux yeux de tous les navigateurs modernes. TeamCity peut contacter cette autorité de certification pour émettre automatiquement un certificat pour votre domaine de serveur TeamCity et, s'il est configuré, pour le domaine d'isolation des artefacts.

Tests de sécurité de l'intégration continue

Plus tôt vous identifiez et corrigez les failles de sécurité dans votre code source, plus vous réduisez la surface d'attaque potentielle. TeamCity vous permet d'adopter simplement la sécurité Shift Left et un processus DevSecOps.

Intégration de Qodana

Utilisez l'intégration prête à l'emploi de TeamCity avec Qodana pour intégrer une analyse statique dans votre pipeline.

Tests de sécurité

Exécutez des tests de sécurité dans le cadre de votre suite de tests automatisés et obtenez-en les résultats à la volée, accompagnés des métadonnées de test pour vous aider à identifier la source de tout problème.

Fonctionnalité de commit prétesté

Réduisez le risque que du code vulnérable pénètre dans vos dépôts en testant d'abord votre code à l'aide de l'exécution à distance de TeamCity et des fonctionnalités de commit prétesté.

Améliorez la sécurité de la CI/CD avec les plugins TeamCity

Ajoutez des niveaux de sécurité supplémentaires à votre pipeline de CI/CD grâce à ces plugins.

Sécurité Snyk

Le plugin Snyk ajoute la possibilité de tester les dépendances de votre code pour détecter les vulnérabilités par rapport à la base de données Snyk. Le build échouera si l'analyse de sécurité détecte que le code est vulnérable au-delà de ce qu'autorise la politique.

Appdome Build-2Secure

Le plugin Appdome Build-2Secure vous permet de sécuriser et personnaliser facilement vos applications mobiles sur JetBrains TeamCity dans le cadre de votre processus de build et de déploiement.

Checkmarx

Installé dans l'environnement TeamCity, le plugin Checkmarx permet d'analyser automatiquement du code lors du déclenchement des builds, pour mettre en ligne le code du projet sur CxSAST en toute fluidité.

Parcourez les plugins TeamCity

TeamCity Cloud : partenaire d'AWS et fier de l'être

TeamCity Cloud est un partenaire reconnu d'AWS avec un statut de DevOps Software Competency éprouvé, conforme aux normes de sécurité les plus élevées.

Faire un essai gratuit

Questions fréquentes sur la sécurité de TeamCity

Nous travaillons avec des tiers et utilisons des scanners de sécurité et des tests d'intrusion pour évaluer la sécurité de TeamCity. Tous les problèmes de sécurité critiques que nous découvrons sont résolus rapidement dans la version suivante de correction des bugs. Nous vous recommandons d'opérer une mise à jour vers la dernière version dès qu'elle est disponible. Avec TeamCity Cloud, votre serveur de build est automatiquement mis à jour. Cliquez ici pour en savoir plus sur le cycle de publication de TeamCity. Nous vous recommandons également de vous abonner à notre Service de notifications de sécurité pour obtenir les dernières informations sur les problèmes de sécurité pouvant affecter TeamCity ou d'autres produits JetBrains.

Vos agents de build communiquent avec le serveur TeamCity à l'aide d'un protocole d'interrogation unidirectionnel sécurisé par HTTPS. Vous pouvez également configurer des agents de build derrière un proxy si nécessaire. L'accès à l'interface web de TeamCity peut être sécurisé par HTTPS ou hébergé derrière un proxy inverse. En savoir plus sur les bonnes pratiques de sécurité pour TeamCity.

Oui, lorsque vous configurez les pull requests comme déclencheurs de build, vous pouvez limiter cela aux pull requests soumises par les membres de votre organisation GitHub ou par ces membres et les collaborateurs externes. Cela empêche des tiers inconnus d'exécuter du code non vérifié sur vos agents de build.