Correction des alertes
Une fois qu’un secret a été commité dans un dépôt, vous devez considérer le secret comme compromis. GitHub recommande les actions suivantes pour les secrets compromis :
- Vérifiez que le secret validé sur GitHub est valide. S’applique uniquement aux jetons GitHub. Consultez Vérification de la validité d’un secret.
- Passez en revue et mettez à jour tous les services qui utilisent l’ancien jeton. Pour GitHub personal access token, supprimez le jeton compromis et créez un nouveau jeton. Consultez Gestion de vos jetons d'accès personnels.
- Selon le fournisseur de secret, vérifiez vos journaux de sécurité pour toute activité non autorisée.
Si un secret est détecté dans un dépôt public sur GitHub et qu’il correspond également à un modèle de partenaire, le secret potentiel est automatiquement signalé au fournisseur de services. Pour les détails des modèles de partenaires pris en charge, consultez Modèles d’analyse de secrets pris en charge.
Alertes de fermeture
Note
Secret scanning ne ferme pas automatiquement les alertes lorsque le jeton correspondant a été supprimé du référentiel. Vous devez fermer manuellement ces alertes dans la liste des alertes sur GitHub.
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.
-
Dans la barre latérale gauche, sous « Alertes de vulnérabilité », cliquez sur Secret scanning .
-
Sous « Secret scanning », cliquez sur l’alerte que vous souhaitez afficher.
-
Pour ignorer une alerte, sélectionnez le menu déroulant « Fermer comme », puis cliquez sur un motif pour résoudre une alerte.
-
Si vous le souhaitez, dans le champ « Commentaire », ajoutez un commentaire pour l’action Ignorer. Le commentaire de l’action Ignorer est ajouté à la chronologie des alertes et peut être utilisé comme justification lors de l’audit et de la création de rapports. Vous pouvez afficher l’historique de toutes les alertes ignorées et les commentaires de rejet dans la chronologie des alertes. Vous pouvez également récupérer ou définir un commentaire à l’aide de l’API Secret scanning. Le commentaire est contenu dans le champ
resolution_comment
. Pour plus d’informations, consultez Points de terminaison d’API REST pour l’analyse de secrets dans la documentation de l’API REST. -
Cliquez sur Fermer l’alerte.