Sécurité sur Semaphore UI
Semaphore UI est une plateforme autogérée qui permet aux équipes DevOps d’automatiser en toute sécurité l’infrastructure à l’aide d’Ansible, Terraform et de scripts personnalisés.
Nous comprenons que la sécurité est essentielle pour nos utilisateurs, et ce document décrit les principes, pratiques et fonctionnalités qui aident à garder vos données et systèmes en sécurité.
🔐 Stockage des données et confidentialité
- Semaphore UI est entièrement auto-hébergé — toutes vos données restent dans votre environnement.
- Nous ne collectons ni ne transmettons aucune de vos identifiants, secrets, inventaires, playbooks, journaux ou télémétrie.
- Vous avez un contrôle total sur le stockage des données, l’accès, la sauvegarde et les politiques de conservation.
🔧 Sécurisé par conception
- Développé en Go, un langage compilé et sûr en mémoire.
- Dépendances externes minimales.
- Séparation claire entre l’interface utilisateur web, l’API et les exécuteurs de tâches.
- Suit le principe du moindre privilège pour les opérations internes.
🔍 Outils de sécurité du code
Pour maintenir la qualité du code et prévenir les problèmes de sécurité, nous utilisons les outils suivants :
- GitHub CodeQL – analyse sémantique du code qui interroge le code en tant que données pour détecter les vulnérabilités et les bogues.
- Codacy – analyse statique du code pour la qualité du code.
- Snyk – analyse automatique des vulnérabilités connues dans les dépendances.
- RenovateBot – automatise les mises à jour des dépendances pour réduire l’exposition aux paquets obsolètes ou vulnérables.
🧑💼 Contrôle d’accès et authentification
- Contrôle d’accès basé sur les rôles intégré (Propriétaire, Manager, Exécuteur de tâches, Invité).
- Authentification à deux facteurs (TOTP) optionnelle.
- Isolation au niveau des projets et des environnements.
- Support pour LDAP et OAuth2 SSO.
🔍 Audit et surveillance
- Toutes les actions de l’interface utilisateur sont enregistrées avec des horodatages et des identifiants d’utilisateur.
- Les journaux sont stockés localement et peuvent être exportés vers des outils de journalisation ou SIEM externes.
- Peut être déployé derrière un proxy inverse (par exemple, NGINX, Traefik) pour ajouter un filtrage IP, des limites de taux et une authentification avancée.
🔄 Mises à jour et gestion des correctifs
- Nous recommandons d’utiliser toujours la dernière version stable.
- Les correctifs de sécurité sont publiés rapidement une fois les problèmes confirmés et corrigés.
📣 Divulgation responsable
Si vous découvrez une vulnérabilité de sécurité, veuillez la signaler de manière responsable en envoyant un e-mail à [email protected].
Nous visons à :
- Accuser réception de votre rapport dans un délai de 1 jour ouvrable.
- Fournir une résolution ou une mise à jour de statut dans un délai de 7 jours ouvrables.
🛠️ Meilleures pratiques de déploiement sécurisé
Pour garantir une installation sécurisée :
- Exécutez Semaphore UI sur un réseau privé ou un VPN.
- Terminez HTTPS à l’aide d’un proxy inverse avec un certificat TLS valide.
- Restreignez l’accès externe à l’aide de règles de pare-feu ou de listes d’autorisation IP.
- Mettez régulièrement à jour votre instance Semaphore UI et ses dépendances.
📜 Conformité et confidentialité
Semaphore UI est respectueux de la vie privée et aide à soutenir vos efforts de conformité :
- RGPD : Toutes les données restent locales et sous votre contrôle.
- CCPA : Pas de suivi, pas de profilage, pas de partage de données avec des tiers.
✅ Résumé
Semaphore UI est conçu pour la sécurité et la confidentialité. Il donne aux équipes le pouvoir de l’automatisation sans compromettre le contrôle. Avec une installation et une configuration appropriées, il peut répondre même aux exigences de sécurité internes les plus strictes.
Des questions ? Contactez-nous à [email protected].