Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.
All products
Sécurité du code

Protection des poussées (push) avec l’analyse des secrets

Dans cet article

Vous pouvez utiliser l’secret scanning pour empêcher les secrets pris en charge d’être poussés dans votre entreprise, organisation, ou dépôt en activant la protection des poussées.

Alertes d’analyse des secrets pour les partenaires s’exécute automatiquement sur les dépôts publics pour informer les fournisseurs de services des fuites de secrets sur GitHub.com.

Les Alertes d’analyse des secrets pour les utilisateurs sont disponibles gratuitement sur tous les dépôts publics. Les organisations qui utilisent GitHub Enterprise Cloud avec une licence pour GitHub Advanced Security peuvent également activer alertes d’analyse des secrets pour les utilisateurs sur leurs dépôts privés et internes. Pour plus d’informations, consultez « À propos de l’analyse des secrets » et « À propos de GitHub Advanced Security ».

Remarque : Secret scanning comme protection de poussée est actuellement en version bêta et peut faire l’objet de modification.

À propos de la protection des poussées pour les secrets

Jusqu’à présent, l’secret scanning vérifie la présence de secrets après une poussée et avertit les utilisateurs des secrets exposés. Lorsque vous activez la protection des poussées, secret scanning vérifie également les poussées des secrets avec un taux de confiance élevé (ceux identifiés avec un taux faible de faux positifs). Secret scanning liste les secrets qu’elle détecte afin que l’auteur puisse passer en revue les secrets et les supprimer ou, si nécessaire, autoriser ces secrets à être poussés. Secret scanning peut également vérifier les notifications Push pour les modèles personnalisés. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ».

Si un contributeur contourne un bloc de protection de poussée pour un secret, GitHub :

  • crée une alerte sous l’onglet Sécurité du dépôt dans l’état décrit dans le tableau ci-dessous.
  • ajoute l’événement de contournement au journal d’audit.
  • envoie une alerte par e-mail aux propriétaires de l’organisation, aux responsables de la sécurité et aux administrateurs de référentiels, qui regardent le référentiel, avec un lien vers le secret associé et la raison pour laquelle il a été autorisé.

Vous pouvez surveiller les alertes de sécurité pour découvrir quand les utilisateurs contournent les protections de poussées et créent des alertes. Pour plus d’informations, consultez « Audit des alertes de sécurité ».

Ce tableau montre le comportement des alertes pour chaque façon dont un utilisateur peut contourner un blocage de la protection push.

Motif du contournementComportement des alertes
Il est utilisé dans des testsGitHub crée une alerte fermée, résolue comme « utilisé dans des tests »
C'est un faux positifGitHub crée une alerte fermée, résolue comme « faux positif »
Je le corrigerai plus tardGitHub crée une alerte ouverte

Pour plus d’informations sur les secrets et fournisseurs de services pris en charge pour la protection par émission de données, consultez « Modèles d’analyse des secrets ».

Activation de l’secret scanning en tant que protection des poussées

Pour pouvoir utiliser l’secret scanning comme protection des poussées, l’entreprise,organisation, ou le dépôt doit avoir à la fois GitHub Advanced Security et l’secret scanning activés. Pour plus d’informations, consultez « À propos de la gestion des fonctionnalités Advanced Security », « Gestion des paramètres de sécurité et d’analyse pour votre organisation », « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « À propos de GitHub Advanced Security ».

Les propriétaires d’organisations, les gestionnaires de sécurité et les administrateurs de dépôt peuvent activer la protection des poussées pour l’secret scanning via l’interface utilisateur et l’API. Pour plus d’informations, consultez « Référentiels » et développez la section « Propriétés de l’objet security_and_analysis » dans la documentation de l’API REST.

Les administrateurs Enterprise peuvent également activer ou désactiver secret scanning en tant que protection push pour l’entreprise via l’API. Pour plus d’informations, consultez « Sécurité et analyse du code » dans la documentation de l’API REST.

Activation de l’secret scanning comme protection des poussées pour votre entreprise

  1. Dans le coin supérieur droit de GitHub.com, cliquez sur votre photo de profil, puis sur Vos entreprises. « Vos entreprises » dans le menu déroulant de la photo de profil sur GitHub Enterprise Cloud

  2. Dans la liste des entreprises, cliquez sur l’entreprise que vous souhaitez afficher.

  3. Dans la barre latérale du compte d’entreprise, cliquez sur Paramètres.

  4. Dans la barre latérale gauche, cliquez sur Sécurité et analyse du code.

  5. Sous « Secret scanning », sous « Protection des poussées », cliquez sur Activer tout.

    Capture d’écran de la section « Protection push » de la page « Sécurité et analyse du code ». Deux boutons, intitulés « Activer tout » et « Désactiver tout », sont mis en évidence avec un contour orange foncé.

  6. Cliquez éventuellement sur « Activer automatiquement pour les référentiels ajoutés à secret scanning ».

  7. Pour éventuellement inclure un lien personnalisé dans le message que les membres voient quand ils tentent d’envoyer (push) un secret, cliquez sur Ajouter un lien de ressource dans l’interface CLI et l’interface utilisateur web quand un commit est bloqué, puis tapez une URL et cliquez sur Enregistrer le lien.

    Capture d’écran de la section « Protection push » de la page « Sécurité et analyse du code ». La case à cocher « Ajouter un lien de ressource dans l’interface CLI et l’interface utilisateur web lorsqu’une validation est bloquée » et le champ de texte de lien personnalisé sont mis en évidence avec un contour orange foncé.

Activation de l’secret scanning en tant que protection des poussées pour une organisation

  1. Sur GitHub.com, accédez à la page principale de l’organisation. 1. Sous le nom de votre organisation, cliquez sur Paramètres.

    Bouton des paramètres de l’organisation

  2. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  3. Sous « Sécurité et analyse du code », recherchez « GitHub Advanced Security ». 1. Sous « Secret scanning », sous « Protection des poussées », cliquez sur Activer tout. Capture d’écran montrant comment activer la protection d’envoi pour secret scanning pour une organisation

  4. Cliquez éventuellement sur « Activer automatiquement pour les référentiels ajoutés à secret scanning ».

  5. Pour éventuellement inclure un lien personnalisé dans le message que les membres voient quand ils tentent d’envoyer (push) un secret, sélectionnez Ajouter un lien de ressource dans l’interface CLI et l’interface utilisateur web quand un commit est bloqué, puis tapez une URL et cliquez sur Enregistrer le lien.

    Capture d’écran de la section « Protection push » de la page « Sécurité et analyse du code ». La case à cocher « Ajouter un lien de ressource dans l’interface CLI et l’interface utilisateur web lorsqu’une validation est bloquée » et le champ de texte de lien personnalisé sont mis en évidence avec un contour orange foncé.

Activation de l’secret scanning en tant que protection des poussées pour un dépôt

  1. Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant et cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  2. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  3. Sous « Sécurité et analyse du code », recherchez « GitHub Advanced Security ». 1. Sous « Secret scanning », accédez à « Protection des envois » et cliquez sur Activer. Capture d’écran montrant comment activer la protection des envois pour secret scanning pour un référentiel

Utilisation de l’analyse des secrets comme protection par émission de données à partir de la ligne de commande

Quand vous tentez de pousser un secret pris en charge vers un dépôt ou une organisation et que l’secret scanning en tant que protection des poussées est activée, GitHub bloque la poussée. Vous pouvez supprimer le secret de votre branche ou suivre une URL fournie pour autoriser l’envoi (push).

Jusqu’à cinq secrets détectés s’affichent à la fois sur la ligne de commande. Si un secret particulier a déjà été détecté dans le dépôt et qu’une alerte existe déjà, GitHub ne bloque pas ce secret.

Les administrateurs d’organisation peuvent fournir un lien personnalisé qui s’affiche lorsqu’un envoi (push) est bloqué. Ce lien personnalisé peut contenir des ressources et des conseils spécifiques à l’organisation, tels que des instructions sur l’utilisation d’un coffre de secrets recommandé ou qui contacter pour des questions relatives au secret bloqué.

Capture d’écran montrant qu’une poussée est bloquée quand un utilisateur tente de pousser un secret vers un dépôt

Si vous confirmez qu’un secret est réel, vous devez supprimer le secret de votre branche, de toutes les validations dans lesquelles il apparaît, avant d’envoyer (push) à nouveau. Pour plus d’informations sur la correction des secrets bloqués, consultez « Envoi d’une branche bloquée par la protection par émission de données ».

Si vous confirmez qu’un secret est réel et que vous avez l’intention de le corriger ultérieurement, vous devez veiller à effectuer la correction dès que possible. Par exemple, vous pouvez révoquer le secret et le supprimer de l’historique des commits du dépôt. Les secrets réels exposés doivent être révoqués pour éviter tout accès non autorisé. Vous pouvez commencer par faire pivoter le secret avant de le révoquer. Pour plus d’informations, consultez « Suppression de données sensibles dans un dépôt ».

Remarques:

  • Si votre configuration Git prend en charge les envois vers plusieurs branches, et non seulement vers la branche par défaut, votre envoi peut être bloqué en raison de l’envoi (push) de références supplémentaires et involontaires. Pour plus d’informations, consultez les options push.default dans la documentation Git.
  • Si l’secret scanning à l’occasion de l’expiration d’un envoi (push), GitHub exécute toujours une analyse après l’envoi (push).

Autorisation de la poussée d’un secret bloqué

Si GitHub bloque un secret alors que selon vous sa poussée ne pose pas de problème, vous pouvez autoriser le secret et spécifier la raison pour laquelle il doit être autorisé.

Lorsque vous autorisez un secret à être poussé, une alerte est créée sous l’onglet Sécurité. GitHub ferme l’alerte et n’envoie pas de notification si vous spécifiez que le secret est un faux positif ou qu’il est utilisé uniquement dans les tests. Si vous spécifiez que le secret est bien réel et que vous le corrigerez plus tard, GitHub garde l’alerte de sécurité ouverte et envoie des notifications à l’auteur du commit, ainsi qu’aux administrateurs du dépôt. Pour plus d’informations, consultez « Gestion des alertes à partir de l’analyse des secrets ».

Quand un contributeur contourne un bloc de protection push pour un secret, GitHub envoie également une alerte par e-mail aux propriétaires de l’organisation, responsables de la sécurité et administrateurs de dépôt qui ont opté pour les notifications par e-mail.

  1. Visitez l’URL qu’a retournée GitHub quand votre poussée a été bloquée. Capture d’écran montrant le formulaire avec les options de déblocage de la poussée d’un secret 2. Choisissez l’option qui décrit le mieux la raison pour laquelle vous devez être en mesure de pousser le secret.
    • Si le secret est utilisé uniquement dans des tests et ne représente aucune menace, cliquez sur Il est utilisé dans des tests.
    • Si la chaîne détectée n’est pas un secret, cliquez sur Il s’agit d’un faux positif.
    • Si le secret est réel, mais que vous avez l’intention de le corriger plus tard, cliquez sur Je le corrigerai plus tard.
  2. Cliquez sur M’autoriser à pousser ce secret.
  3. Retentez la poussée sur la ligne de commande dans un délai de trois heures. Si vous n’effectuez pas la poussée dans les trois heures, vous devrez répéter ce processus.

Utilisation de l’analyse des secrets comme protection des poussées à partir de l’interface utilisateur web

Quand vous utilisez l’interface utilisateur web pour tenter de commiter un secret pris en charge vers un dépôt ou une organisation avec l’analyse des secrets activée comme protection des poussées, GitHub bloque le commit.

Vous verrez une bannière en haut de la page avec des informations sur l’emplacement du secret, et le secret sera également souligné dans le fichier afin que vous puissiez le trouver facilement.

GitHub n’affiche qu’un secret détecté à la fois dans l’interface utilisateur web. Si un secret particulier a déjà été détecté dans le dépôt et qu’une alerte existe déjà, GitHub ne bloque pas ce secret.

Les administrateurs d’organisation peuvent fournir un lien personnalisé qui s’affiche lorsqu’un envoi (push) est bloqué. Ce lien personnalisé peut contenir des ressources et des conseils spécifiques à votre organisation. Par exemple, le lien personnalisé peut pointer vers un fichier README avec des informations sur le coffre de secrets de l’organisation, les équipes et les individus auxquels remonter les questions, ou la stratégie approuvée de l’organisation pour travailler avec des secrets et réécrire l’historique des commits.

Vous pouvez supprimer le secret du fichier à l’aide de l’interface utilisateur web. Une fois que vous avez supprimé le secret, la bannière en haut de la page change et vous indique que vous pouvez maintenant commiter vos modifications.

Capture d’écran montrant le commit autorisé dans l’interface utilisateur web après la correction du secret

Contournement de la protection des poussées pour un secret

Si vous confirmez qu’un secret est réel, vous devez supprimer le secret de votre branche, de toutes les validations dans lesquelles il apparaît, avant d’envoyer (push) à nouveau. Pour plus d’informations sur la correction des secrets bloqués, consultez « Envoi d’une branche bloquée par la protection par émission de données ».

Si vous confirmez qu’un secret est réel et que vous avez l’intention de le corriger ultérieurement, vous devez veiller à effectuer la correction dès que possible. Pour plus d’informations, consultez « Suppression de données sensibles dans un dépôt ».

Si GitHub bloque un secret alors que selon vous sa poussée ne pose pas de problème, vous pouvez autoriser le secret et spécifier la raison pour laquelle il doit être autorisé.

Lorsque vous autorisez un secret à être poussé, une alerte est créée sous l’onglet Sécurité. GitHub ferme l’alerte et n’envoie pas de notification si vous spécifiez que le secret est un faux positif ou qu’il est utilisé uniquement dans les tests. Si vous spécifiez que le secret est bien réel et que vous le corrigerez plus tard, GitHub garde l’alerte de sécurité ouverte et envoie des notifications à l’auteur du commit, ainsi qu’aux administrateurs du dépôt. Pour plus d’informations, consultez « Gestion des alertes à partir de l’analyse des secrets ».

Quand un contributeur contourne un bloc de protection push pour un secret, GitHub envoie également une alerte par e-mail aux propriétaires de l’organisation, responsables de la sécurité et administrateurs de dépôt qui ont opté pour les notifications par e-mail.

Si vous confirmez qu’un secret est réel et que vous avez l’intention de le corriger ultérieurement, vous devez veiller à effectuer la correction dès que possible.

  1. Dans la bannière qui s’est affichée en haut de la page quand GitHub a bloqué votre commit, cliquez sur Ignorer la protection.

  2. Choisissez l’option qui décrit le mieux la raison pour laquelle vous devez être en mesure de pousser le secret.

    • Si le secret est utilisé uniquement dans des tests et ne représente aucune menace, cliquez sur Il est utilisé dans des tests.
    • Si la chaîne détectée n’est pas un secret, cliquez sur Il s’agit d’un faux positif.
    • Si le secret est réel, mais que vous avez l’intention de le corriger plus tard, cliquez sur Je le corrigerai plus tard.

    Capture d’écran montrant le formulaire avec les options de déblocage de la poussée d’un secret

  3. Cliquez sur Autoriser le secret.