Tableau de bord des bonnes pratiques techniques
Exemples :
- https://dashlord.incubateur.net
- https://socialgouv.github.io/dashlord-fabrique
- https://mtes-mct.github.io/dashlord
- https://socialgouv.github.io/dnum-dashboard
Vous devez éditer le fichier ./dashlord.yml et ajouter une entrée pour votre URL.
💡 Bonne pratique : enlever les slashs à la fin des urls
- Créer un nouveau repository à partir du template dashlord
- Éditer le fichier
dashlord.yml - Éditer le fichier
.github/workflows/scans.ymlsi nécessaire - Éditer le fichier
.github/workflows/report.ymlsi nécessaire (vérifier lebase-pathoù sera publié le site web, il s'agira du nom du repository) - Dans les settings du repository, dans "Actions", positionner "Workflows permissions" sur "Read and write" (si l'option n'est pas disponible pour le dépôt, activez la d'abord au niveau de l'organisation)
- Dans les settings du repository, dans "Pages", selectionner
gh-pagescomme branche source (vous pouvez soit la créer en amont soit la selectionner après le premier scan qui la créera) - Lancer
DashLord scansdans l'ongletActionsde votre projet GitHub
Une fois les scans terminés, un rapport sera généré dans la branche gh-pages du repository, il sera disponible sur https://[organisation].github.io/[repository] (publiquement).
- Le fichier
dashlord.ymlpermet de paramétrer les urls et quelques options du tableau de bord - Le workflow DashLord scans
.github/workflows/scans.ymlpermet de customiser certains scanners, et régler la fréquence de scan (paramètreschedulepositionné par défaut tous les dimanches à minuit) - Le workflow DashLord report
.github/workflows/report.ymlgénére automatiquement le rapport web en se basant sur SocialGouv/dashlord-actions/report
Ces workflows sont également déclenchables manuellement dans l'onglet "Actions"
Chaque outil peut être activé/désactivé dans le rapport avec la clé tools de dashlord.yml.
| Repo | desc |
|---|---|
| SocialGouv/dashlord-actions | Dashlord specific actions |
| SocialGouv/dashlord-nuclei-action | Dump nuclei result |
| SocialGouv/httpobs-action | Dump Mozilla HTTP Observatory result |
| SocialGouv/thirdparties-action | Dump third party scripts scan result |
| SocialGouv/wappalyzer-action | Dump Wappalyzer scan result |
| MTES-MCT/dependabotalerts-action | Dump Github dependabot security alerts |
| MTES-MCT/codescanalerts-action | Dump Github CodeQL security alerts |
| MTES-MCT/updownio-action | Dump updown.io stats |
| MTES-MCT/nmap-action | Dump nmap port scan stats |
| MTES-MCT/stats-action | Detect /stats page. |
| SocialGouv/thirdparties | thirdparty scripts database |
| swinton/screenshot-website | grab website screenshot |
| SocialGouv/detect-404-action | detect 404 errors |
| aquasecurity/trivy-action | Scan docker images vulnerabilities |
Certains outils nécessitent une configuration supplémentaire :
ajouter un secret GitHub DEPENDABOTALERTS_TOKEN et lui donner pour valeur un token d'accès personnel ayant droit de lecture sur "Dependabot alerts" en sélectionnant les dépôts à scanner
ajouter un secret GitHub CODESCANALERTS_TOKEN et lui donner pour valeur un token d'accès personnel ayant droit de lecture sur "Code scanning alerts" en sélectionnant les dépôts à scanner
DashLord peut monitorer le niveau de performance et de disponibilité de vos applications. (mise en place = 10mins)
- Créez un compte sur updown.io
- Ajoutez-y les urls à monitorer (telles que définies dans dashlord.yml)
- Activez l'outil avec
updownio: truedans le fichier dashlord.yml - Ajouter votre clé d'API updown.io "readonly" dans un secret GitHub nommé
UPDOWNIO_API_KEY(onglet settings/secrets)
Si vous fournissez un token write à l'action init, les urls manquantes seront automatiquement ajoutées à votre compte updown.io.
▶ Au prochain scan, les informations updown.io seront remontées dans DashLord
You can host the css file in your Dashlord repo but the link needs to point to a file with the correct Content-Type Header. See here for details
Vous pouvez contribuer en remontant des issues de qualité, en améliorant la documentation, ou en ajoutant du code.
🤗 Toutes les suggestions sont bienvenues.
DashLord fonctionne en deux étapes :
- Acquisition des données : Pour chaque URL, chaque outil est executé et génère un fichier JSON qui sera versionné dans le repository
- Génération du rapport : À partir des données existantes, l'action report aggrège, compresse les résultats et produit un rapport web statique.
Voir aussi : SocialGouv/dashlord-actions