Sécurité & Webhooks (secrets, suppression)
Sécurité & Webhooks (secrets, suppression)
Gérez les secrets, la vérification et la suppression des webhooks pour garantir l’intégrité des événements entrants.
Protégez vos intégrations GitHub/GitLab : création signée, vérification et suppression propre des webhooks.
Capacités clés
Génération & stockage de secrets
DeployIt génère un secret unique pour chaque webhook (si nécessaire) et le conserve en lieu sûr pour vérifier que les événements entrants proviennent bien de votre fournisseur.
Création sécurisée de webhooks
Lors de la création, le webhook est configuré pour signer les payloads et utiliser le secret ; vous recevez un message clair de succès ou d’erreur dans l’interface.
Vérification de l’existence
Lancez une vérification rapide pour confirmer qu’un webhook est bien présent et accessible sur GitHub ou GitLab.
Suppression côté provider
Quand vous supprimez un dépôt ou un projet, DeployIt tente de supprimer le webhook chez le provider pour éviter les callbacks orphelins.
Diagnostics & permissions
Des diagnostics vous indiquent si le token a les permissions nécessaires et quelles actions corriger en cas d’erreur.
Signatures & headers personnalisés
Support pour signatures et en-têtes personnalisés vers des destinations externes (hooks sortants) afin d’assurer l’intégrité de la livraison.
Introduction
La gestion des webhooks dans DeployIt vous aide à garantir que seuls des événements légitimes déclenchent des automatisations. En gérant les secrets, en vérifiant la présence des webhooks et en supprimant proprement les hooks côté fournisseur, vous réduisez le risque d’événements frauduleux et les callbacks indésirables.
How to use it
Créer un webhook sécurisé (manuel ou automatique)
Étape 1 — Ouvrir le dépôt
Allez dans Projet → Repositories (Dépôts) et sélectionnez le dépôt concerné.
Étape 2 — Lancer la création
Cliquez sur “Créer webhook” ou sur l’action équivalente dans le menu du dépôt. Si le webhook est créé automatiquement lors de l’ajout du dépôt, passez à l’étape suivante.
Étape 3 — Ce que vous remplissez
Dans la plupart des cas, vous n’avez rien à saisir : DeployIt génère un secret si nécessaire et prépare la configuration (événements push/pull_request). Si un champ apparaît (ex. URL de destination externe), renseignez-le selon vos besoins.
Étape 4 — Résultat attendu
Vous verrez une confirmation “Webhook créé avec succès !” ou un message d’erreur indiquant la cause (permissions manquantes, webhook déjà existant, etc.). Si un secret a été généré, il est automatiquement enregistré pour vérifier les signatures des payloads entrants.
Vérifier l’existence d’un webhook (checkWebhook)
Étape 1 — Ouvrir l’outil de diagnostic
Dans la page du dépôt, cliquez sur “Diagnostic” ou “Vérifier webhook” pour lancer un contrôle.
Étape 2 — Lancer la vérification
Cliquez sur “Vérifier”. L’outil teste la présence du webhook côté fournisseur et affiche l’état (présent / absent / erreur).
Étape 3 — Interpréter les résultats
Si le webhook est présent : statut “Webhook configuré”. S’il manque : statut “Pas de webhook” et suggestions (ré-authentifier, vérifier permissions). En cas d’erreur, suivez les recommandations affichées.
Étape 4 — Actions recommandées
Si le test indique un problème de permissions, re-authentifiez le dépôt ou demandez à l’administrateur du repository d’accorder les scopes requis (par exemple gestion des webhooks).
Supprimer un webhook côté provider (manuel ou automatique)
Étape 1 — Suppression via l’interface
Si vous supprimez un dépôt ou un projet : allez dans la page du dépôt puis cliquez sur “Supprimer” ou utilisez l’action “Supprimer webhook” si disponible.
Étape 2 — Confirmation
Confirmez la suppression lorsque l’interface le demande. DeployIt tente alors de supprimer le webhook directement chez GitHub/GitLab.
Étape 3 — Résultat
Vous recevrez une notification de succès ou d’échec. En cas d’échec, l’interface expliquera que la suppression côté provider n’a pas pu être réalisée (souvent à cause de permissions).
Étape 4 — Que faire si la suppression échoue
Si la suppression échoue, reconnectez/re-authentifiez le dépôt avec un compte ayant les permissions nécessaires, ou supprimez manuellement le webhook depuis l’interface GitHub/GitLab.
Astuce pro
Pensez à tester la création et la réception d’un événement (ex. push sur une branche de test) après avoir créé un webhook. Cela confirme que les signatures sont valides et que DeployIt reçoit bien les événements. En outre, planifiez une rotation régulière des secrets pour plus de sécurité.
Limites importantes à connaître
- Les secrets de webhook sont stockés et utilisés pour vérifier la provenance des payloads entrants. Ne partagez pas ces secrets publiquement.
- La suppression d’un webhook appelle le fournisseur (GitHub/GitLab) et peut échouer si votre compte n’a pas les permissions suffisantes. Dans ce cas, la suppression doit être réalisée par un administrateur du dépôt.
- Le support des signatures et des en-têtes personnalisés est disponible pour les destinations externes ; assurez-vous que la destination attend bien la même méthode de signature et les mêmes en-têtes.
FAQ
Frequently Asked Questions
Besoin d’aide supplémentaire ?
Si vous rencontrez des erreurs persistantes (permissions, tokens expirés, suppression bloquée), contactez le support avec la capture d’écran du diagnostic et l’URL du dépôt.