Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.
All products
Sécurité du code

Gestion des alertes à partir de l’analyse des secrets

Dans cet article

Vous pouvez afficher et fermer les alertes pour les secrets archivés dans votre référentiel.

Qui peut utiliser cette fonctionnalité

People with admin access to a public repository can view and dismiss secret scanning alerts for the repository.

Alertes d’analyse des secrets pour les partenaires s’exécute automatiquement sur les dépôts publics pour informer les fournisseurs de services des fuites de secrets sur GitHub.com.

Les Alertes d’analyse des secrets pour les utilisateurs sont disponibles gratuitement sur tous les dépôts publics. Les organisations qui utilisent GitHub Enterprise Cloud avec une licence pour GitHub Advanced Security peuvent également activer alertes d’analyse des secrets pour les utilisateurs sur leurs dépôts privés et internes. Pour plus d’informations, consultez « À propos de l’analyse des secrets » et « À propos de GitHub Advanced Security ».

Gestion des Alertes d’analyse de secrets

Remarque : Les alertes sont créées uniquement pour les référentiels pour lesquels les alertes d’analyse des secrets pour les utilisateurs sont activées. Les secrets trouvés dans les référentiels publics utilisant le service gratuit d’alertes d’analyse des secrets pour les partenaires sont signalés directement au partenaire, sans qu’une alerte soit créée. Pour plus d’informations, consultez « Modèles d’analyse des secrets ».

  1. Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité. Onglet Sécurité

  2. Dans la barre latérale gauche, sous « Alertes de vulnérabilité », cliquez sur Secret scanning .

  3. Sous « Secret scanning », cliquez sur l’alerte que vous souhaitez afficher.

  4. Si vous le souhaitez, si le secret divulgué est un jeton GitHub, vérifiez la validité du secret et suivez les étapes de correction.

    Capture d’écran de l’interface utilisateur d’un jeton GitHub, montrant la vérification de la validité et les étapes de correction suggérées.

    Remarque : La vérification de validité des jetons GitHub est actuellement en version bêta publique, et peut être amenée à changer.

    GitHub fournit des informations sur la validité du secret, uniquement pour les jetons GitHub.

    ValiditéRésultats
    Secret actifGitHub a confirmé que ce secret est actif
    Secret actifGitHub a vérifié auprès du fournisseur de ce secret et a constaté que le secret est actif
    Secret éventuellement actifGitHub ne prend pas encore en charge les vérifications de validation pour ce type de jeton
    Secret éventuellement actifGitHub n’a pas pu vérifier ce secret
    Le secret est indiqué comme inactifVous devez vous assurer qu’aucun accès non autorisé n’a déjà eu lieu

  5. Pour ignorer une alerte, sélectionnez le menu déroulant « Fermer comme », puis cliquez sur un motif pour résoudre une alerte.

    Capture d’écran d’une alerte secret scanning. Un menu déroulant, intitulé « Fermer en tant que », est développé et mis en évidence par un contour orange foncé.

  6. Si vous le souhaitez, dans le champ « Commentaire », ajoutez un commentaire pour l’action Ignorer. Le commentaire de l’action Ignorer est ajouté à la chronologie des alertes et peut être utilisé comme justification lors de l’audit et de la création de rapports. Vous pouvez afficher l’historique de toutes les alertes ignorées et les commentaires de rejet dans la chronologie des alertes. Vous pouvez également récupérer ou définir un commentaire à l’aide de l’API Secret scanning. Le commentaire est contenu dans le champ resolution_comment. Pour plus d’informations, consultez « Analyse de secrets » dans la documentation de l’API REST.

  7. Cliquez sur Fermer l’alerte.

Sécurisation des secrets compromis

Une fois qu’un secret a été commité dans un dépôt, vous devez considérer le secret comme compromis. GitHub recommande les actions suivantes pour les secrets compromis :

  • Pour un GitHub personal access token compromis, supprimez le jeton compromis, créez un jeton et mettez à jour tous les services qui utilisent l’ancien jeton. Pour plus d’informations, consultez « Création d’un jeton d’accès personnel ».

  • Pour tous les autres secrets, vérifiez d’abord que le secret commité dans GitHub est valide. Si c’est le cas, créez un secret, mettez à jour tous les services qui utilisent l’ancien secret, puis supprimez l’ancien secret.

Remarque : Si un secret est détecté dans un dépôt public sur GitHub.com et qu’il correspond également à un modèle de partenaire, une alerte est générée et le secret potentiel est signalé au fournisseur de services. Pour les détails des modèles de partenaires, consultez « Modèles d’analyse des secrets ».

Configuration des notifications pour les Alertes d’analyse de secrets

Quand un nouveau secret est détecté, GitHub avertit tous les utilisateurs ayant accès aux alertes de sécurité pour le dépôt en fonction de leurs préférences de notification. Vous recevrez une notification par e-mail si :

  • vous surveillez le dépôt.
  • vous avez activé les notifications pour « Toutes les activités » ou pour les « Alertes de sécurité » personnalisées sur le dépôt.
  • dans vos paramètres de notification, sous « Abonnements », puis sous « Surveillance », vous avez choisi de recevoir les notifications par e-mail.

Vous serez également averti si vous êtes l’auteur de la validation qui contient le secret et que vous n’ignorez pas le dépôt.

  1. Dans GitHub.com, accédez à la page principale du dépôt.

  2. Pour commencer à surveiller le dépôt, sélectionnez Surveiller.

    Capture d’écran de la page principale du dépôt. Un menu déroulant intitulé « Surveiller » est mis en évidence avec un encadré orange.

  3. Dans le menu déroulant, cliquez sur Toutes les activités. Sinon, pour vous abonner uniquement aux alertes de sécurité, cliquez sur Personnalisé, puis sur Alertes de sécurité.

  4. Accédez aux paramètres de notification de votre compte personnel. Ceux-ci sont disponibles sur https://github.com/settings/notifications.

  5. Dans la page des paramètres de notification, sous « Abonnements », puis sous « Surveillance », sélectionnez la liste déroulante M’avertir.

  6. Sélectionnez « E-mail » comme option de notification, puis cliquez sur Enregistrer.

    Capture d’écran des paramètres de notification pour un compte d’utilisateur. Un en-tête d’élément, intitulé « Abonnements », et un sous-en-tête, intitulé « Surveillance », sont présentés. Une case à cocher, intitulée « E-mail », est mise en évidence avec un contour orange.

Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « Configuration de vos paramètres de surveillance pour un dépôt spécifique ».

Audit des réponses aux alertes d’analyse des secrets

Vous pouvez auditer les actions effectuées en réponse aux alertes secret scanning à l’aide des outils GitHub. Pour plus d’informations, consultez « Audit des alertes de sécurité ».