À propos des alertes d’analyse des secrets pour les partenaires
GitHub analyse les secrets émis par des fournisseurs de services spécifiques qui ont rejoint notre programme de partenariat dans les dépôts publics et les packages npm publics, et alerte le fournisseur de services approprié chaque fois qu’un secret est détecté dans un commit. Le fournisseur de services valide la chaîne, puis décide de révoquer ou non le secret, d’émettre un nouveau secret ou de vous contacter directement. Son action dépend des risques associés pour vous ou lui. Pour en savoir plus sur notre programme de partenariat, consultez « Programme de partenariat d’analyse des secrets ».
Note
Vous ne pouvez pas changer la configuration de l’secret scanning pour les modèles de partenaires sur les référentiels publics.
La raison pour laquelle les alertes des partenaires sont directement envoyées aux fournisseurs de secrets dès qu’une fuite est détectée pour l’un de leurs secrets est que cela permet au fournisseur de prendre des mesures immédiates pour vous protéger et protéger ses ressources. Le processus de notification pour les alertes régulières est différent. Des alertes régulières sont affichées dans l’onglet Sécurité du référentiel sur GitHub pour que vous puissiez les résoudre.
Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.
Quels sont les secrets pris en charge
Pour plus d’informations à propos des secrets et fournisseurs de services pris en charge pour la protection push, consultez « Modèles d’analyse de secrets pris en charge ».