À propos des vérifications de validité
Vous pouvez activer les vérifications de validité des secrets identifiés en tant que jetons de fournisseur de services pour votre référentiel. Une fois activé, GitHub vérifiera périodiquement la validité d’une information d’identification détectée, en envoyant le secret directement au fournisseur, dans le cadre du programme de partenariat de GitHub pour l’analyse des secrets. Pour en savoir plus sur notre programme de partenariat, consultez « Programme de partenariat d’analyse des secrets ».
GitHub affiche l’état de validation du secret dans la vue des alertes, afin que vous puissiez voir si le secret est active
, inactive
ou si l’état de validation est unknown
. Vous pouvez éventuellement effectuer une vérification de validité « à la demande » pour le secret dans la vue des alertes.
Vous pouvez également choisir d'activer les vérifications de validité pour les modèles partenaires. Une fois activé, GitHub vérifiera périodiquement la validité d'une information d'identification détectée, en envoyant le secret directement au fournisseur, dans le cadre du programme officiel de partenariat de GitHub pour l'analyse des secrets. GitHub effectue généralement des requêtes GET pour vérifie la validité des informations d'identification, sélectionne les points de terminaison les moins intrusifs et sélectionne les points de terminaison qui ne retournent aucune information personnelle.
GitHub affiche l'état de validation du secret dans la vue d'alerte.
Vous pouvez filtrer par état de validation sur la page des alertes pour vous aider à hiérarchiser les alertes sur lesquelles vous devez effectuer des actions.
Note
GitHub effectue généralement des requêtes GET pour vérifie la validité des informations d'identification, sélectionne les points de terminaison les moins intrusifs et sélectionne les points de terminaison qui ne retournent aucune information personnelle.
Pour plus d’informations sur l’utilisation des vérifications de validité, consultez Évaluation des alertes à partir de l’analyse des secrets.
Activation des vérifications de validité
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.
-
Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité du code.
-
Sous Secret scanning, cochez la case en regard de « Vérifier automatiquement si un secret est valide en l’envoyant au partenaire approprié ».
Vous pouvez également utiliser l’API REST pour activer la vérification de validité pour les modèles partenaires de votre référentiel. Pour plus d’informations, consultez « Points de terminaison d’API REST pour les référentiels ».
Les propriétaires d’organisations et les administrateurs d’entreprise peuvent également activer la fonctionnalité pour tous les référentiels dans les paramètres de l'organisation ou de l'entreprise. Pour plus d'informations sur l'activation au niveau de l'organisation, consultez Création d’une configuration de sécurité personnalisée. Pour plus d'informations sur l'activation au niveau de l'entreprise, consultez Gestion des fonctionnalités GitHub Advanced Security pour votre entreprise et Points de terminaison d’API REST pour la sécurité et l’analyse du code d’entreprise.