Gestion des Alertes d’analyse de secrets
Remarque : Les alertes sont créées uniquement pour les référentiels pour lesquels les alertes d’analyse des secrets pour les utilisateurs sont activées. Les secrets trouvés dans les référentiels publics et les packages npm publics qui utilisent le service gratuit d’alertes d’analyse des secrets pour les partenaires sont signalés directement au partenaire, sans qu’une alerte soit créée. Pour plus d’informations, consultez « Modèles d’analyse des secrets ».
-
Dans GitHub.com, accédez à la page principale du dépôt.
-
Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.
-
Dans la barre latérale gauche, sous « Alertes de vulnérabilité », cliquez sur Secret scanning .
-
Sous « Secret scanning », cliquez sur l’alerte que vous souhaitez afficher.
-
Si le secret divulgué est éventuellement un jeton GitHub, vous pouvez également examiner les métadonnées du jeton. Pour plus d’informations sur l’examen des métadonnées de jeton, consultez « Examen des métadonnées de jeton GitHub ».
-
Pour ignorer une alerte, sélectionnez le menu déroulant « Fermer comme », puis cliquez sur un motif pour résoudre une alerte.
-
Si vous le souhaitez, dans le champ « Commentaire », ajoutez un commentaire pour l’action Ignorer. Le commentaire de l’action Ignorer est ajouté à la chronologie des alertes et peut être utilisé comme justification lors de l’audit et de la création de rapports. Vous pouvez afficher l’historique de toutes les alertes ignorées et les commentaires de rejet dans la chronologie des alertes. Vous pouvez également récupérer ou définir un commentaire à l’aide de l’API Secret scanning. Le commentaire est contenu dans le champ
resolution_comment
. Pour plus d’informations, consultez « Analyse de secrets » dans la documentation de l’API REST. -
Cliquez sur Fermer l’alerte.
Examen des métadonnées de jeton GitHub
Remarque : Les métadonnées des jetons GitHub sont actuellement en version bêta publique et sont susceptibles d’être modifiées.
Dans la vue d’une alerte de jeton GitHub active, vous pouvez passer en revue certaines métadonnées relatives au jeton. Ces métadonnées peuvent vous aider à identifier le jeton et à déterminer les étapes de correction à prendre. Pour plus d’informations sur l’affichage d’alertes individuelles, consultez « Gestion des alertes d’secret scanning ».
Les jetons, comme personal access token et d’autres informations d’identification, sont considérés comme des informations personnelles. Pour plus d’informations sur l’utilisation des jetons GitHub, consultez Déclaration de confidentialité et Stratégies d’utilisation acceptable de GitHub.
Les métadonnées des jetons GitHub sont disponibles pour les jetons actifs dans n’importe quel dépôt où l’analyse des secrets est activée. Si un jeton a été révoqué ou si son état ne peut pas être validé, les métadonnées ne sont pas disponibles. GitHub révoque automatiquement les jetons GitHub dans les dépôts publics, il est donc peu probable que les métadonnées des jetons GitHub dans les dépôts publics soient disponibles. Les métadonnées suivantes sont disponibles pour les jetons GitHub actifs :
Métadonnées | Description |
---|---|
Nom du secret | Nom donné au jeton GitHub par son créateur |
Propriétaire du secret | Handle GitHub du propriétaire du jeton |
Créé le | Date de création du jeton |
A expiré le | Date d’expiration du jeton |
Dernière utilisation le | Date de la dernière utilisation du jeton |
Accès | Si le jeton dispose ou non d’un accès à l’organisation |
Sécurisation des secrets compromis
Une fois qu’un secret a été commité dans un dépôt, vous devez considérer le secret comme compromis. GitHub recommande les actions suivantes pour les secrets compromis :
- Pour un GitHub personal access token compromis, supprimez le jeton compromis, créez un jeton et mettez à jour tous les services qui utilisent l’ancien jeton. Pour plus d’informations, consultez « Gestion de vos jetons d’accès personnels ».
- Pour tous les autres secrets, vérifiez d’abord que le secret commité dans GitHub est valide. Si c’est le cas, créez un secret, mettez à jour tous les services qui utilisent l’ancien secret, puis supprimez l’ancien secret.
Remarque : Si un secret est détecté dans un dépôt public sur GitHub.com et qu’il correspond également à un modèle de partenaire, une alerte est générée et le secret potentiel est signalé au fournisseur de services. Pour les détails des modèles de partenaires, consultez « Modèles d’analyse des secrets ».
Configuration des notifications pour les Alertes d’analyse de secrets
Les notifications sont différentes pour les analyses incrémentielles et les analyses historiques.
Analyses incrémentielles
Quand un nouveau secret est détecté, GitHub avertit tous les utilisateurs ayant accès aux alertes de sécurité pour le dépôt en fonction de leurs préférences de notification. Ces utilisateurs sont les suivants :
- Administrateurs de dépôts
- Gestionnaires de sécurité
- Utilisateurs avec des rôles personnalisés avec accès en lecture/écriture
- Propriétaires d’organisation et propriétaires d’entreprise, s’ils sont administrateurs de dépôts où des secrets ont fuité
Remarque : Les auteurs de commit qui ont accidentellement commité des secrets seront notifiés, quelles que soient leurs préférences de notification.
Vous recevrez une notification par e-mail si :
- Vous surveillez le dépôt.
- Vous avez activé les notifications pour « Toutes les activités » ou pour les « Alertes de sécurité » personnalisées sur le dépôt.
- Dans vos paramètres de notification, sous « Abonnements », puis sous « Surveillance », vous avez choisi de recevoir les notifications par e-mail.
-
Dans GitHub.com, accédez à la page principale du dépôt.
-
Pour commencer à surveiller le dépôt, sélectionnez Surveiller.
-
Dans le menu déroulant, cliquez sur Toutes les activités. Sinon, pour vous abonner uniquement aux alertes de sécurité, cliquez sur Personnalisé, puis sur Alertes de sécurité.
-
Accédez aux paramètres de notification de votre compte personnel. Ceux-ci sont disponibles sur https://github.com/settings/notifications.
-
Dans la page des paramètres de notification, sous « Abonnements », puis sous « Surveillance », sélectionnez la liste déroulante M’avertir.
-
Sélectionnez « E-mail » comme option de notification, puis cliquez sur Enregistrer.
Pour plus d’informations sur la configuration des préférences de notification, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « Configuration de vos paramètres de surveillance pour un dépôt spécifique ».
Analyses historiques
Pour les analyses historiques, GitHub notifie les utilisateurs suivants :
- Les propriétaires d’organisation, les propriétaires d’entreprise et les responsables de la sécurité — chaque fois qu’une analyse historique est terminée, même si aucun secret n’est trouvé.
- Les administrateurs de dépôts, les responsables de la sécurité et les utilisateurs ayant des rôles personnalisés avec accès en lecture/écriture — chaque fois qu’une analyse historique détecte un secret et en fonction de leurs préférences de notification.
Nous ne notifions pas les auteurs de commit.
Pour plus d’informations sur la configuration des préférences de notification, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « Configuration de vos paramètres de surveillance pour un dépôt spécifique ».
Audit des réponses aux alertes d’analyse des secrets
Vous pouvez auditer les actions effectuées en réponse aux alertes secret scanning à l’aide des outils GitHub. Pour plus d’informations, consultez « Audit des alertes de sécurité ».