Configuration de l’analyse des secrets pour vos dépôts

Rechercher des secrets

2 sur 9 dans le parcours d’apprentissage
Suivant:Définition de modèles personnalisés pour l’analyse des secrets

Dans cet article

Vous pouvez configurer la façon dont GitHub recherche dans vos dépôts des secrets divulgués et génère des alertes.

Qui peut utiliser cette fonctionnalité

People with admin permissions to a repository can enable secret scanning for the repository.

Alertes d’analyse des secrets pour les partenaires s’exécute automatiquement sur les référentiels publics et les packages npm publiques pour informer les fournisseurs de services des fuites de secrets sur GitHub.com.

Les Alertes d’analyse des secrets pour les utilisateurs sont disponibles gratuitement sur tous les dépôts publics. Les organisations qui utilisent GitHub Enterprise Cloud avec une licence pour GitHub Advanced Security peuvent également activer alertes d’analyse des secrets pour les utilisateurs sur leurs dépôts privés et internes. Pour plus d’informations, consultez « À propos de l’analyse des secrets » et « À propos de GitHub Advanced Security ».

Pour plus d’informations sur la façon dont vous pouvez essayer GitHub Advanced Security gratuitement, consultez « Configuration d’un essai de GitHub Advanced Security ».

Activation de alertes d’analyse des secrets pour les utilisateurs

Vous pouvez activer alertes d’analyse des secrets pour les utilisateurs pour tout dépôt appartenant à une organisation . Une fois activée, secret scanning recherche les secrets dans l’historique Git de toutes les branches présentes dans votre référentiel GitHub. Secret scanning recherche également les descriptions des problèmes et les commentaires pour les secrets.

Vous pouvez également activer secret scanning pour plusieurs référentiels dans une organisation en même temps. Pour plus d’informations, consultez « Sécurisation de votre organisation ».

Remarque : Si votre organisation appartient à un compte d’entreprise, un propriétaire d’entreprise peut également activer l’secret scanning au niveau de l’entreprise. Pour plus d’informations, consultez « Gestion des fonctionnalités GitHub Advanced Security pour votre entreprise ».

  1. Dans GitHub.com, accédez à la page principale du dépôt.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Si Advanced Security n’est pas déjà activé pour le dépôt, à droite de « GitHub Advanced Security », cliquez sur Activer.

  5. Passez en revue l’impact de l’activation d’Advanced Security, puis cliquez sur Activer GitHub Advanced Security pour ce dépôt.

  6. Quand vous activez Advanced Security, l’secret scanning peut être automatiquement activée pour le dépôt en raison des paramètres de l’organisation. Si « Secret scanning » s’affiche avec un bouton Activer, vous devez toujours activer l’secret scanning en cliquant sur Activer. Si vous voyez un bouton Désactiver, l’secret scanning est déjà activée.

    Capture d’écran de la section « Secret scanning » de la page « Sécurité et analyse du code », avec le bouton « Activer » mis en évidence dans un contour orange foncé.

  7. Si vous souhaitez activer la protection des poussées, cliquez sur Activer à droite de « Protection des poussées ». Lorsque vous activez la protection par émission de données pour votre organisation ou votre référentiel, secret scanning vérifie également les envois des secrets avec un taux de confiance élevé (ceux identifiés avec un taux faible de faux positifs). Secret scanning liste les secrets qu’elle détecte afin que l’auteur puisse passer en revue les secrets et les supprimer ou, si nécessaire, autoriser ces secrets à être poussés. Pour plus d’informations, consultez « Protection des poussées pour les référentiels et les organisations ». Capture d’écran de la section « Secret scanning ». En regard d’un élément en retrait marqué « Protection de type push », le bouton « Activer » est mis en surbrillance dans un contour orange foncé.

Exclusion de répertoires de alertes d’analyse des secrets pour les utilisateurs

Vous pouvez configurer un fichier secret_scanning.yml pour exclure les répertoires de secret scanning, notamment quand vous utilisez la protection push. Par exemple, vous pouvez exclure des répertoires qui contiennent des tests ou du contenu généré de manière aléatoire.

  1. Dans GitHub.com, accédez à la page principale du dépôt.

  2. Au-dessus de la liste de fichiers, sélectionnez le menu déroulant Ajouter un fichier , puis cliquez sur Créer un fichier.

    Vous pouvez également cliquer sur dans l’arborescence de fichiers à gauche.

    Capture d’écran de la page principale d’un référentiel. Au-dessus de la liste des fichiers, un bouton, intitulé « Ajouter un fichier », est indiqué en orange foncé. Dans l’arborescence de fichiers du référentiel, un bouton, avec une icône du signe plus, est également encadré en orange foncé.

  3. Dans le champ du nom de fichier, tapez .github/secret_scanning.yml.

  4. Sous Modifier le nouveau fichier, tapez paths-ignore: suivi des chemins que vous souhaitez exclure de l’secret scanning.

    paths-ignore:
  - "foo/bar/*.js"

    Vous pouvez utiliser des caractères spéciaux tels que * pour filtrer les chemins. Pour plus d’informations sur les modèles de filtre, consultez « Syntaxe de workflow pour GitHub Actions ».

    Remarques :

    • S’il y a plus de 1 000 entrées dans paths-ignore, l’secret scanning n’exclut que les 1 000 premiers répertoires des analyses.
    • Si secret_scanning.yml est supérieure à 1 Mo, l’secret scanning ignore la totalité du fichier.

Vous pouvez également ignorer des alertes individuelles de l’secret scanning. Pour plus d’informations, consultez « Gestion des alertes à partir de l’analyse des secrets ».

Pour aller plus loin

PrécédentÀ propos de l’analyse des secretsSuivantDéfinition de modèles personnalisés pour l’analyse des secrets