Skip to main content

À propos des alertes d’analyse des secrets

Découvrez les différents types de Alertes d’analyse de secrets.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Secret scanning est disponible pour les référentiels suivants :

  • Référentiels publics (gratuit)
  • Référentiels privés et internes dans les organisations utilisant GitHub Enterprise Cloud avec GitHub Advanced Security activé

À propos des types d’alertes

Il existe trois types d’ :

  • ** Alertes utilisateur**  : signalées aux utilisateurs dans l’onglet Sécurité du référentiel, lorsqu’un secret pris en charge est détecté dans le référentiel.
  • Alertes de protection push : signalées aux utilisateurs sous l’onglet Sécurité du référentiel, lorsqu’un contributeur contourne la protection push.
  • Alertes de partenaire : signalées directement aux fournisseurs de secrets qui font partie du programme partenaire de secret scanning. Ces alertes ne sont pas signalées sous l’onglet Sécurité du référentiel.

À propos des alertes utilisateur

Lorsque GitHub détecte un secret pris en charge dans un référentiel avec secret scanning activé, un utilisateur est généré et affiché dans l’onglet Sécurité du référentiel.

Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.

À propos des alertes de protection des poussées

La protection push analyse les push pour rechercher les secrets pris en charge. Si la protection push détecte un secret pris en charge, elle bloque le push. Lorsqu’un contributeur contourne la protection push pour envoyer un secret au référentiel, une alerte de protection Push est générée et affichée sous l’onglet Sécurité du référentiel. Pour afficher toutes les alertes de protection push pour un référentiel, vous devez appliquer un filtre par bypassed: true sur la page des alertes. Pour plus d’informations, consultez « Affichage et filtrage des alertes à partir de l’analyse des secrets ».

Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.

Note

Les versions antérieures de certains jetons peuvent ne pas être prises en charge par la protection des poussées, car ces jetons peuvent générer un nombre plus élevé de faux positifs que leur version la plus récente. La protection des poussées peut également ne pas s’appliquer aux jetons hérités. Pour les jetons tels que les clés de stockage Azure, GitHub prend uniquement en charge les jetons récemment créés, pas les jetons qui correspondent aux modèles hérités. Pour plus d'informations sur les limitations de la protection des poussées, consultez « Résolution des problèmes d’analyse des secrets ».

À propos des alertes de partenaire

Lorsque GitHub détecte une fuite de secret dans un dépôt public ou un package npm, une alerte est envoyée directement au fournisseur de secret, s’il fait partie du programme de partenariat d’analyse de secret de GitHub. Pour plus d’informations sur les alertes d’analyse des secrets pour les partenaires, consultez « Programme de partenariat d’analyse des secrets » et « Modèles d’analyse de secrets pris en charge ».

Les alertes de partenaire ne sont pas envoyées aux administrateurs de référentiel. Vous n’avez donc pas besoin d’effectuer d’action pour ce type d’alerte.

Étapes suivantes

Pour aller plus loin