Détection de paires de modèles
L’Secret scanning détecte uniquement les paires de modèles, telles que les clés d’accès et les secrets AWS, si l’ID et le secret se trouvent dans le même fichier et que les deux sont poussés vers le dépôt. La création de paires permet de réduire les faux positifs, car les deux éléments d’une paire (l’ID et le secret) doivent être utilisés ensemble pour accéder à la ressource du fournisseur.
Les paires poussées vers des fichiers différents, ou pas poussées vers le même dépôt, n’aboutissent pas à des alertes. Pour plus d’informations sur les paires de modèles prises en charge, consultez le tableau dans « Modèles d'analyse des secrets ».
À propos des jetons GitHub hérités
Pour les jetons GitHub, nous vérifions la validité du secret pour déterminer si le secret est actif ou inactif. Cela signifie que pour les jetons hérités, l’secret scanning ne détecte pas de personal access token GitHub Enterprise Server sur GitHub Enterprise Cloud. De même, un personal access token GitHub Enterprise Cloud sera introuvable sur GitHub Enterprise Server.
Limitations de la protection des poussées
Si la protection des poussées n’a pas détecté un secret qui, selon vous, aurait dû être détecté, vérifiez d’abord que la protection des poussées prend en charge le type de secret dans la liste des secrets pris en charge. Pour plus d’informations, consultez Modèles d'analyse des secrets.
Si votre secret figure dans la liste prise en charge, les raisons pour lesquelles la protection des poussées peut ne pas le détecter sont diverses.
- La protection des poussées bloque uniquement les secrets fuités sur une partie des modèles alertés par l’utilisateur les plus identifiables. Les contributeurs peuvent approuver les défenses de sécurité lorsque ces secrets sont bloqués, car il s’agit des modèles qui ont le plus faible nombre de faux positifs.
- La version de votre secret est peut-être ancienne. Les versions antérieures de certains jetons peuvent ne pas être prises en charge par la protection des poussées, car ces jetons peuvent générer un nombre plus élevé de faux positifs que leur version la plus récente. La protection des poussées peut également ne pas s’appliquer aux jetons hérités. Pour les jetons tels que les clés de stockage Azure, GitHub prend uniquement en charge les jetons récemment créés, pas les jetons qui correspondent aux modèles hérités.
- La poussée peut être trop lourde, par exemple, si vous essayez de pousser des milliers de fichiers volumineux. Une analyse de la protection des poussées peut expirer et ne pas bloquer un utilisateur si la poussée est trop importante. GitHub analyse et crée quand même des alertes, si nécessaire, après la poussée.
- Si la poussée entraîne la détection de plus de cinq nouveaux secrets, nous vous montrerons uniquement les cinq premiers (nous vous montrerons toujours un maximum de cinq secrets à la fois).
- Si une poussée contient plus de 1 000 secrets existants (c’est-à-dire des secrets pour lesquels des alertes ont déjà été créées), la protection des poussées ne bloque pas la poussée.