Affichage et filtrage des alertes à partir de l’analyse des secrets

Découvrez comment rechercher et filtrer alertes d’analyse des secrets pour les utilisateurs les alertes pour votre référentiel.

Qui peut utiliser cette fonctionnalité ?

People with admin access to a repository can view alertes d’analyse des secrets pour les utilisateurs for the repository.

Alertes d’analyse des secrets pour les partenaires s’exécute automatiquement sur les référentiels publics et les packages npm publiques pour informer les fournisseurs de services des fuites de secrets sur GitHub.

Les Alertes d’analyse des secrets pour les utilisateurs sont disponibles gratuitement sur tous les dépôts publics appartenant à l’utilisateur. Les organisations qui utilisent GitHub Enterprise Cloud avec une licence pour GitHub Advanced Security peuvent également activer alertes d’analyse des secrets pour les utilisateurs sur leurs dépôts privés et internes. De plus, alertes d’analyse des secrets pour les utilisateurs sont disponibles et en version bêta sur les référentiels appartenant à l’utilisateur pour GitHub Enterprise Cloud avec Enterprise Managed Users. Pour plus d’informations, consultez « À propos des alertes d’analyse des secrets » et « À propos de GitHub Advanced Security ».

Pour plus d’informations sur la façon dont vous pouvez essayer GitHub Advanced Security gratuitement, consultez « Configuration d’un essai de GitHub Advanced Security ».

Dans cet article

À propos de la page d'alerte secret scanning

Quand vous activez l’secret scanning pour un dépôt ou que vous poussez des commits sur un dépôt où l’secret scanning est activée, GitHub recherche dans le contenu des secrets qui correspondent aux modèles définis par les fournisseurs de services et à tous les modèles personnalisés définis dans votre entreprise, organisation ou dépôt.

Lorsque secret scanning détecte un secret, GitHub génère une alerte. GitHub affiche une alerte sous l’onglet Sécurité du dépôt.

Pour vous aider à trier les alertes plus efficacement, GitHub sépare les alertes en deux listes :

  • Alertes à haut niveau de confiance.
  • Alertes Autres.

Capture d'écran de l'affichage des alertes secret scanning. Le bouton permettant de basculer entre les alertes « Haut niveau de confiance » et « Autres » est mis en surbrillance avec un contour orange.

Liste des alertes à haut niveau de confiance

La liste des alertes « à haut niveau de confiance » affiche les alertes relatives aux modèles pris en charge et aux modèles personnalisés spécifiés. Cette liste est toujours l'affichage par défaut de la page alertes.

Liste des alertes Autres

La liste des alertes « Autres » affiche des alertes qui concernent des modèles non fournisseurs (tels que des clés privées), ou des secrets génériques détectés à l'aide de l'IA (par exemple, les mots de passe). Ces types d'alertes ont un taux plus élevé de faux positifs.

En outre, les alertes qui appartiennent à cette catégorie :

  • Sont limitées en quantité à 5 000 alertes par référentiel (cela inclut les alertes ouvertes et fermées).
  • Ne sont pas affichés dans les vues récapitulatives de la vue d'ensemble de la sécurité, mais uniquement dans la vue « Secret scanning ».
  • Seuls les cinq premiers emplacements détectés sont affichés sur GitHub pour les modèles non fournisseurs, et seul le premier emplacement détecté est affiché pour les secrets génériques détectés par l'IA.

Pour que GitHub recherche des motifs non fournisseurs et des secrets génériques, vous devez d'abord activer la fonctionnalités pour votre référentiel ou votre organisation. Pour plus d'informations, consultez « Activation de l’analyse du secret des modèles non fournisseurs » et « AUTOTITLE. »

Affichage des alertes

Les alertes pour secret scanning s’affichent sous l’onglet Sécurité du référentiel.

  1. Dans GitHub.com, accédez à la page principale du dépôt.

  2. Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Sécurité » est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale gauche, sous « Alertes de vulnérabilité », cliquez sur Secret scanning .

  4. Si vous le souhaitez, vous pouvez basculer sur « Autre » pour consulter les alertes relatives aux modèles non fournisseurs ou aux secrets génériques détectés à l'aide de l'IA.

  5. Sous « Secret scanning », cliquez sur l’alerte que vous souhaitez afficher.

    Note

    Seules les personnes disposant d’autorisations d’administrateur dans le référentiel contenant un secret divulgué peuvent afficher les détails de l’alerte de sécurité et les métadonnées de jeton pour une alerte. Les propriétaires d’entreprise peuvent demander un accès temporaire au référentiel à cet effet.

Filtrage des alertes

Vous pouvez appliquer différents filtres à la liste des alertes pour vous aider à trouver celles qui vous intéressent. Vous pouvez utiliser les menus déroulants au-dessus de la liste des alertes ou entrer les qualificateurs répertoriés dans la table dans la barre de recherche.

QualificateurDescription
is:openAffiche les alertes ouvertes.
is:closedAffiche les alertes fermées.
bypassed: trueAffiche des alertes pour les secrets où la protection Envoyer a été ignorée. Pour plus d’informations, consultez « À propos de la protection push ».
validity:activeAffiche des alertes pour les secrets qui sont connus comme actifs. Pour plus d'informations sur les états de validité, consultez « Évaluation des alertes à partir de l’analyse des secrets ».
validity:inactiveAffiche des alertes pour les secrets qui ne sont plus actifs.
validity:unknownAffiche des alertes pour les secrets où l'état de validité du secret est inconnu.
secret-type:SECRET-NAMEAffiche des alertes pour un type de secret spécifique, par exemple secret-type:github_personal_access_token. Pour une liste des types de secret pris en charge, consultez « Modèles d’analyse de secrets pris en charge. »
provider:PROVIDER-NAMEAffiche des alertes pour un fournisseur spécifique, par exemple provider:github. Pour obtenir la liste des partenaires pris en charge, consultez « Modèles d’analyse de secrets pris en charge ».
confidence:highAffiche des alertes pour les secrets à haut niveau de confiance, qui sont liés aux secrets pris en charge et aux modèles personnalisés. Pour obtenir la liste des modèles à haut niveau de confiance pris en charge, consultez « Modèles d’analyse de secrets pris en charge .»
confidence:otherAffiche des alertes pour les motifs non liés au fournisseur, tels que les clés privées, et les secrets génériques détectés par l'IA, tels que les mots de passe. Pour obtenir la liste des modèles non fournisseurs pris en charge, consultez « Modèles d’analyse de secrets pris en charge. » Pour plus d'informations sur les secrets génériques détectés par l'IA, consultez « À propos de la détection de secrets génériques avec l’analyse des secrets ».

Étapes suivantes