Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.

À propos de l’analyse des secrets

GitHub Enterprise Cloud analyse les types de secrets connus dans les dépôts pour éviter une utilisation frauduleuse des secrets validés accidentellement.

Les Secret scanning alerts for partners s’exécutent automatiquement sur tous les dépôts publics. Si vous disposez d’une licence pour GitHub Advanced Security, vous pouvez activer et configurer les secret scanning alerts for users pour tout dépôt appartenant à une organisation. Pour plus d’informations, consultez « À propos des secret scanning alerts for users » et « À propos de la GitHub Advanced Security ».

À propos de l’secret scanning

Si votre projet communique avec un service externe, vous pouvez utiliser un jeton ou une clé privée pour l’authentification. Les jetons et les clés privées sont des exemples de secrets qu’un fournisseur de services peut émettre. Si vous archivez un secret dans un dépôt, toute personne disposant d’un accès en lecture au dépôt peut l’utiliser pour accéder au service externe avec vos privilèges. Nous vous recommandons de stocker les secrets dans un emplacement dédié et sécurisé en dehors du dépôt de votre projet.

L’Secret scanning recherche les secrets dans l’ensemble de votre historique Git sur toutes les branches présentes dans votre dépôt GitHub, même si le dépôt est archivé. Secret scanning analyse également les descriptions des problèmes et les commentaires pour les secrets.

L’Secret scanning est disponible sur GitHub.com sous deux formes :

  1. Secret scanning alerts for partners. S’exécute automatiquement sur tous les dépôts publics. Toutes les chaînes qui correspondent aux modèles fournis par les partenaires d’analyse des secrets sont signalées directement au partenaire approprié. Pour plus d’informations, consultez la section « À propos des secret scanning alerts for partners » ci-dessous.

  2. Secret scanning alerts for users. Vous pouvez activer et configurer une analyse supplémentaire pour les référentiels appartenant à des organisations qui utilisent GitHub Enterprise Cloud et disposent d’une licence pour GitHub Advanced Security. Cela inclut les référentiels privés et internes.

    Toutes les chaînes qui correspondent aux modèles fournis par les partenaires d’analyse des secrets, par d’autres fournisseurs de services ou définis par vous ou votre organisation sont signalées comme alertes sous l’onglet Sécurité des dépôts. Si une chaîne dans un dépôt public correspond à un modèle de partenaire, elle est également signalée au partenaire. Pour plus d’informations, consultez la section « À propos des secret scanning alerts for users » ci-dessous.

Les fournisseurs de services peuvent collaborer avec GitHub afin de fournir leurs formats de secret pour l’analyse. Pour en savoir plus sur notre programme de partenariat, consultez « Programme de partenariat Secret scanning ».

Vous pouvez également activer l’secret scanning en tant que protection des poussées (push) pour un dépôt ou une organisation. Quand vous activez cette fonctionnalité, l’secret scanning empêche les contributeurs de pousser du code comportant un secret détecté. Pour continuer, les contributeurs doivent supprimer le ou les secrets de la poussée ou, si nécessaire, contourner la protection. Les administrateurs peuvent également spécifier un lien personnalisé qui s’affiche au contributeur lorsqu’un envoi (push) est bloqué. Ce lien peut contenir des ressources spécifiques à l’organisation destinées à aider les contributeurs. Pour plus d’informations, consultez « Protection des envois (push) avec l’secret scanning ».

À propos des secret scanning alerts for partners

Quand vous rendez un dépôt public ou que vous poussez des modifications vers un dépôt public, GitHub Enterprise Cloud analyse toujours le code à la recherche des secrets qui correspondent aux modèles de partenaires. Secret scanning analyse également les descriptions des problèmes et les commentaires pour les secrets. Si l’secret scanning détecte un secret potentiel, nous indiquons au fournisseur de services qui a émis le secret. Le fournisseur de services valide la chaîne, puis décide de révoquer ou non le secret, d’émettre un nouveau secret ou de vous contacter directement. Son action dépend des risques associés pour vous ou lui. Pour plus d’informations, consultez « Secrets pris en charge pour les alertes de partenaires ».

Vous ne pouvez pas changer la configuration de l’secret scanning pour les modèles de partenaires sur les référentiels publics.

À propos des secret scanning alerts for users

Secret scanning alerts for users disponibles sur tous les référentiels appartenant à l’organisation dans le cadre de GitHub Advanced Security. Cette fonctionnalité n’est pas disponible sur les référentiels appartenant à l’utilisateur. Lorsque vous activez secret scanning pour un référentiel, GitHub analyse le code à la recherche de modèles qui correspondent aux secrets utilisés par de nombreux fournisseurs de services. Secret scanning analyse également les descriptions des problèmes et les commentaires pour les secrets. Lorsqu’un secret pris en charge est divulgué, GitHub Enterprise Cloud génère une alerte secret scanning. GitHub exécute également régulièrement une analyse complète de l’historique Git du contenu existant dans les dépôts GitHub Advanced Security où l’secret scanning est activée, et envoie des notifications d’alerte selon les paramètres de notification d’alerte de l’secret scanning. Pour plus d’informations, consultez « Secrets pris en charge pour les alertes utilisateur ».

Remarque : Secret scanning pour les descriptions et les commentaires des problèmes est en version bêta publique et peut faire l’objet de modifications.

Si vous êtes administrateur de référentiel, vous pouvez activer les secret scanning alerts for users pour n’importe quel référentiel, y compris les référentiel archivés. Les propriétaires d’organisation peuvent également activer les secret scanning alerts for users pour tous les référentiels ou pour tous les nouveaux référentiels au sein d’une organisation. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et« Gestion des paramètres de sécurité et d’analyse pour votre organisation ».

Vous pouvez également définir des modèles d’secret scanning pour un dépôt, une organisation ou une entreprise. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’secret scanning ».

GitHub stocke les secrets détectés en utilisant le chiffrement symétrique, à la fois en transit et au repos.

Accès aux secret scanning alerts

Quand vous activez l’secret scanning pour un dépôt ou que vous poussez des commits sur un dépôt où l’secret scanning est activée, GitHub recherche dans le contenu de ces commits des secrets qui correspondent aux modèles définis par les fournisseurs de services et à tous les modèles personnalisés définis dans votre entreprise, organisation ou dépôt. Secret scanning analyse également les descriptions des problèmes et les commentaires pour les secrets. GitHub exécute aussi régulièrement une analyse de tout le contenu historique dans les dépôts où l’secret scanning est activée.

Si l’secret scanning détecte un secret, GitHub génère une alerte.

  • GitHub envoie une alerte par e-mail aux administrateurs du dépôt et aux propriétaires de l’organisation. Vous recevez une alerte si vous consultez le dépôt, et si vous avez activé les notifications pour les alertes de sécurité ou pour toutes les activités sur le dépôt.
  • Si le contributeur qui a commité le secret n’ignore pas le dépôt, GitHub envoie également une alerte par e-mail au contributeur. Les e-mails contiennent un lien vers l’alerte d’secret scanning associée. L’auteur du commit peut ensuite afficher l’alerte dans le dépôt et résoudre l’alerte.
  • GitHub affiche une alerte sous l’onglet Sécurité du dépôt.

Pour plus d’informations sur l’affichage et la résolution des secret scanning alerts, consultez « Gestion des alertes d’secret scanning ».

Les administrateurs de référentiel et les propriétaires d’organisation peuvent accorder aux utilisateurs et aux équipes l’accès aux secret scanning alerts. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».

Vous pouvez utiliser la vue d’ensemble de la sécurité pour voir au niveau de l’organisation les dépôts où l’secret scanning est activée et les alertes trouvées. Pour plus d’informations, consultez « Affichage de la vue d’ensemble de la sécurité ».

Vous pouvez également utiliser l’API REST pour monitorer les résultats de l’secret scanning sur vos référentiels. Pour plus d’informations sur les points de terminaison d’API, consultez « Secret scanning ».

Pour aller plus loin