Skip to main content

À propos de l’analyse des secrets pour les partenaires

Lorsque secret scanning détecte les détails d’authentification d’un fournisseur de services dans un dépôt public sur GitHub, une alerte est envoyée directement au fournisseur. Cela permet aux fournisseurs de services qui sont partenaires de GitHub de prendre rapidement des mesures pour sécuriser leurs systèmes.

Qui peut utiliser cette fonctionnalité ?

Alertes d’analyse des secrets pour les partenaires s’exécute par défaut sur les référentiels suivants :

  • Des dépôts publics et packages publics npm sur GitHub

À propos des alertes d’analyse des secrets pour les partenaires

GitHub analyse les secrets émis par des fournisseurs de services spécifiques qui ont rejoint notre programme de partenariat dans les dépôts publics et les packages npm publics, et alerte le fournisseur de services approprié chaque fois qu’un secret est détecté dans un commit. Le fournisseur de services valide la chaîne, puis décide de révoquer ou non le secret, d’émettre un nouveau secret ou de vous contacter directement. Son action dépend des risques associés pour vous ou lui. Pour en savoir plus sur notre programme de partenariat, consultez « Programme de partenariat d’analyse des secrets ».

Note

Vous ne pouvez pas changer la configuration de l’secret scanning pour les modèles de partenaires sur les référentiels publics.

La raison pour laquelle les alertes des partenaires sont directement envoyées aux fournisseurs de secrets dès qu’une fuite est détectée pour l’un de leurs secrets est que cela permet au fournisseur de prendre des mesures immédiates pour vous protéger et protéger ses ressources. Le processus de notification pour les alertes régulières est différent. Des alertes régulières sont affichées dans l’onglet Sécurité du référentiel sur GitHub pour que vous puissiez les résoudre.

Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.

Quels sont les secrets pris en charge

Pour plus d’informations à propos des secrets et fournisseurs de services pris en charge pour la protection push, consultez « Modèles d’analyse de secrets pris en charge ».

Pour aller plus loin