À propos des modèles d’secret scanning
GitHub Enterprise Cloud gère ces différents jeux de modèles d’secret scanning par défaut :
-
Modèles de partenaires. Utilisés pour détecter les secrets potentiels dans tous les dépôts publics et les packages npm publics. Pour en savoir plus sur notre programme de partenariat, consultez « Programme de partenariat d’analyse des secrets ».
-
Modèles d’alerte utilisateur. Utilisés pour détecter les secrets potentiels dans les référentiels avec les alertes d’analyse des secrets pour les utilisateurs activées.
-
Modèles de protection des poussées. Utilisés pour détecter les secrets potentiels dans les dépôts avec l’secret scanning en tant que protection des poussées.
Pour plus d’informations sur tous les modèles pris en charge, consultez la section « Secrets pris en charge » ci-dessous.
Si vous pensez que secret scanning doit avoir détecté un secret commité dans votre dépôt, mais qu’il ne l’a pas fait, vous devez d’abord vérifier que GitHub prend en charge votre secret. Pour plus d’informations, consultez les sections ci-dessous. Pour plus d’informations sur la résolution des problèmes, consultez « Résolution des problèmes d’analyse des secrets ».
À propos des alertes de partenaire
Les alertes de partenaire sont des alertes qui sont envoyées aux fournisseurs de secrets chaque fois qu’une fuite de secrets est signalée pour l’un de leurs secrets. GitHub Enterprise Cloud analyse actuellement les secrets émis par des fournisseurs de services spécifiques dans les dépôts publics et les packages npm publics, et alerte le fournisseur de services approprié chaque fois qu’un secret est détecté dans un commit. Pour plus d’informations sur les alertes d’analyse des secrets pour les partenaires, consultez « À propos de l’analyse des secrets ».
Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.
À propos des alertes utilisateur
Les alertes utilisateur sont des alertes qui sont signalées aux utilisateurs sur GitHub. Quand les alertes d’analyse des secrets pour les utilisateurs sont activées, GitHub analyse les dépôts à la recherche de secrets émis par un large éventail de fournisseurs de services et génère des Alertes d’analyse de secrets.
Vous pouvez voir ces alertes sous l’onglet Sécurité du dépôt. Pour plus d’informations sur les alertes d’analyse des secrets pour les utilisateurs, consultez « À propos de l’analyse des secrets ».
Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.
Si vous utilisez l’API REST pour l’analyse des secrets, vous pouvez utiliser le Secret type
pour signaler des secrets à partir d’émetteurs spécifiques. Pour plus d’informations, consultez « Analyse de secrets ».
Remarque : Vous pouvez également définir des modèles d’secret scanning pour votre dépôt, votre organisation ou votre entreprise. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ».
À propos des alertes de protection des poussées
Les alertes de protection des poussées sont des alertes utilisateur qui sont signalées par la protection des poussées. L’Secret scanning en tant que protection des poussées vérifie si les dépôts contiennent des secrets émis par des fournisseurs de services.
Les alertes de protection push ne sont pas créées pour les secrets qui sont contournés avec la protection push basée sur l'utilisateur uniquement. Pour plus d’informations, consultez « Protection par émission de données pour les utilisateurs ».
Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.
Les versions antérieures de certains jetons peuvent ne pas être prises en charge par la protection des poussées, car ces jetons peuvent générer un nombre plus élevé de faux positifs que leur version la plus récente. La protection des poussées peut également ne pas s’appliquer aux jetons hérités. Pour les jetons tels que les clés de stockage Azure, GitHub prend uniquement en charge les jetons récemment créés, pas les jetons qui correspondent aux modèles hérités. Pour plus d’informations sur les limitations de la protection des poussées, consultez « Résolution des problèmes d’analyse des secrets ».
Secrets pris en charge
Ce tableau répertorie les secrets pris en charge par l’secret scanning. Vous pouvez voir les types d’alerte qui sont générés pour chaque jeton, ainsi que si une vérification de validité est effectuée sur le jeton.
- Fournisseur : nom du fournisseur de jetons.
- Partenaire — jeton pour lequel les fuites sont signalées au partenaire de jeton approprié. S’applique uniquement aux dépôts publics.
- Utilisateur — jeton pour lequel les fuites sont signalées aux utilisateurs sur GitHub. S’applique aux dépôts publics et aux dépôts privés où GitHub Advanced Security est activé.
- Protection des poussées — jeton pour lequel les fuites sont signalées aux utilisateurs sur GitHub. S’applique aux dépôts avec l’secret scanning et la protection des poussées activées.
- Vérification de validité — jeton pour lequel une vérification de validité est implémentée. Pour les jetons partenaires, GitHub envoie le jeton au partenaire concerné. Notez que tous les partenaires ne sont pas basés aux États-Unis. Pour plus d’informations, consultez «Advanced Security » dans la documentation de stratégie de site.
Fournisseur | Jeton | Partenaire | Utilisateur | Protection des poussées | Vérification de validité |
---|---|---|---|---|---|
Adafruit IO | adafruit_io_key | ||||
Adobe | adobe_client_secret | ||||
Adobe | adobe_device_token | ||||
Adobe | adobe_pac_token | ||||
Adobe | adobe_refresh_token | ||||
Adobe | adobe_service_token | ||||
Adobe | adobe_short_lived_access_token | ||||
Aiven | aiven_auth_token | ||||
Aiven | aiven_service_password | ||||
Alibaba Cloud | alibaba_cloud_access_key_id alibaba_cloud_access_key_secret | ||||
Login with Amazon | amazon_oauth_client_id amazon_oauth_client_secret | ||||
Amazon Web Services (AWS) | aws_access_key_id aws_secret_access_key | ||||
Amazon Web Services (AWS) | aws_session_token aws_temporary_access_key_id aws_secret_access_key | ||||
Asana | asana_personal_access_token | ||||
Atlassian | atlassian_api_token | ||||
Atlassian | atlassian_jwt | ||||
Atlassian | bitbucket_server_personal_access_token | ||||
Azure | azure_active_directory_application_secret | ||||
Azure | azure_batch_key_identifiable | ||||
Azure | azure_cache_for_redis_access_key | ||||
Azure | azure_container_registry_key_identifiable | ||||
Azure | azure_cosmosdb_key_identifiable | ||||
Azure | azure_devops_personal_access_token | ||||
Azure | azure_function_key | ||||
Azure | azure_ml_web_service_classic_identifiable_key | ||||
Azure | azure_sas_token | ||||
Azure | azure_search_admin_key | ||||
Azure | azure_search_query_key | ||||
Azure | azure_management_certificate | ||||
Azure | azure_sql_connection_string | ||||
Azure | azure_sql_password | ||||
Azure | azure_storage_account_key | ||||
Beamer | beamer_api_key | ||||
Canadian Digital Service | cds_canada_notify_api_key | ||||
Checkout.com | checkout_production_secret_key | ||||
Checkout.com | checkout_test_secret_key | ||||
Chief Tools | chief_tools_token | ||||
Clojars | clojars_deploy_token | ||||
CloudBees CodeShip | codeship_credential | ||||
Contentful | contentful_personal_access_token | ||||
Contributed Systems | CONTRIBUTED_SYSTEMS_CREDENTIALS | ||||
crates.io (Rust Foundation) | cratesio_api_token | ||||
Databricks | databricks_access_token | ||||
Datadog | DATADOG_API_KEY | ||||
Defined | defined_networking_nebula_api_key | ||||
DevCycle | devcycle_client_api_key | ||||
DevCycle | devcycle_mobile_api_key | ||||
DevCycle | devcycle_server_api_key | ||||
DigitalOcean | digitalocean_oauth_token | ||||
DigitalOcean | digitalocean_personal_access_token | ||||
DigitalOcean | digitalocean_refresh_token | ||||
DigitalOcean | digitalocean_system_token | ||||
Discord | discord_api_token_v2 | ||||
Discord | discord_bot_token | ||||
Doppler | doppler_audit_token | ||||
Doppler | doppler_cli_token | ||||
Doppler | doppler_personal_token | ||||
Doppler | doppler_scim_token | ||||
Doppler | doppler_service_token | ||||
Doppler | doppler_service_account_token | ||||
Dropbox | dropbox_access_token | ||||
Dropbox | dropbox_short_lived_access_token | ||||
Duffel | duffel_live_access_token | ||||
Duffel | duffel_test_access_token | ||||
Dynatrace | dynatrace_access_token | ||||
Dynatrace | dynatrace_internal_token | ||||
EasyPost | easypost_production_api_key | ||||
EasyPost | easypost_test_api_key | ||||
eBay | ebay_production_client_id ebay_production_client_secret | ||||
eBay | ebay_sandbox_client_id ebay_sandbox_client_secret | ||||
Fastly | fastly_api_token | ||||
Figma | figma_pat | ||||
Finicity | finicity_app_key | ||||
Flutterwave | flutterwave_live_api_secret_key | ||||
Flutterwave | flutterwave_test_api_secret_key | ||||
Frame.io | frameio_developer_token | ||||
Frame.io | frameio_jwt | ||||
FullStory | fullstory_api_key | ||||
GitHub | github_app_installation_access_token | ||||
GitHub | github_oauth_access_token | ||||
GitHub | github_personal_access_token | ||||
GitHub | github_refresh_token | ||||
GitHub | github_ssh_private_key | ||||
GitLab | gitlab_access_token | ||||
GoCardless | gocardless_live_access_token | ||||
GoCardless | gocardless_sandbox_access_token | ||||
firebase_cloud_messaging_server_key | |||||
google_cloud_storage_service_account_access_key_id google_cloud_storage_access_key_secret | |||||
google_cloud_storage_user_access_key_id google_cloud_storage_access_key_secret | |||||
google_oauth_access_token | |||||
google_oauth_client_id google_oauth_client_secret | |||||
google_oauth_refresh_token | |||||
Google Cloud | google_api_key | ||||
Google Cloud | google_cloud_private_key_id | ||||
Grafana | grafana_cloud_api_key | ||||
Grafana | grafana_cloud_api_token | ||||
Grafana | grafana_project_api_key | ||||
Grafana | grafana_project_service_account_token | ||||
HashiCorp | hashicorp_vault_batch_token | ||||
HashiCorp | hashicorp_vault_root_service_token | ||||
HashiCorp | hashicorp_vault_service_token | ||||
Hashicorp Terraform | terraform_api_token | ||||
Highnote | highnote_rk_live_key | ||||
Highnote | highnote_rk_test_key | ||||
Highnote | highnote_sk_live_key | ||||
Highnote | highnote_sk_test_key | ||||
Hubspot | hubspot_api_key | ||||
Hubspot | hubspot_api_personal_access_key | ||||
Intercom | intercom_access_token | ||||
Ionic | ionic_personal_access_token | ||||
Ionic | ionic_refresh_token | ||||
JD Cloud | jd_cloud_access_key | ||||
JFrog | jfrog_platform_access_token | ||||
JFrog | jfrog_platform_api_key | ||||
JFrog | jfrog_platform_reference_token | ||||
Linear | linear_api_key | ||||
Linear | linear_oauth_access_token | ||||
Lob | lob_live_api_key | ||||
Lob | lob_test_api_key | ||||
LocalStack | localstack_api_key | ||||
LogicMonitor | logicmonitor_bearer_token | ||||
LogicMonitor | logicmonitor_lmv1_access_key | ||||
Mailchimp | mailchimp_api_key | ||||
Mailchimp | MANDRILL_API | ||||
Mailgun | mailgun_api_key | ||||
Mapbox | mapbox_secret_access_token | ||||
Maxmind | maxmind_license_key | ||||
Mercury | mercury_non_production_api_token | ||||
Mercury | mercury_production_api_token | ||||
MessageBird | messagebird_api_key | ||||
Meta | facebook_access_token | ||||
Midtrans | midtrans_production_server_key | ||||
Midtrans | midtrans_sandbox_server_key | ||||
New Relic | new_relic_insights_query_key | ||||
New Relic | new_relic_license_key | ||||
New Relic | new_relic_personal_api_key | ||||
New Relic | new_relic_rest_api_key | ||||
Notion | notion_integration_token | ||||
Notion | notion_oauth_client_secret | ||||
npm | npm_access_token | ||||
NuGet | nuget_api_key | ||||
Octopus Deploy | octopus_deploy_api_key | ||||
Oculus | oculus_very_tiny_encrypted_session | ||||
OneChronos | onechronos_api_key | ||||
OneChronos | onechronos_eb_api_key | ||||
OneChronos | onechronos_eb_encryption_key | ||||
OneChronos | onechronos_oauth_token | ||||
OneChronos | onechronos_refresh_token | ||||
Onfido | onfido_live_api_token | ||||
Onfido | onfido_sandbox_api_token | ||||
OpenAI | openai_api_key | ||||
OpenAI | openai_api_key_v2 | ||||
Palantir | palantir_jwt | ||||
Persona | persona_production_api_key | ||||
Persona | persona_sandbox_api_key | ||||
pinterest_access_token | |||||
pinterest_refresh_token | |||||
PlanetScale | planetscale_database_password | ||||
PlanetScale | planetscale_oauth_token | ||||
PlanetScale | planetscale_service_token | ||||
Plivo | plivo_auth_id plivo_auth_token | ||||
Postman | postman_api_key | ||||
Postman | postman_collection_key | ||||
Prefect | prefect_server_api_key | ||||
Prefect | prefect_user_api_key | ||||
Prefect | PREFECT_USER_API_TOKEN | ||||
Proctorio | proctorio_consumer_key | ||||
Proctorio | proctorio_linkage_key | ||||
Proctorio | proctorio_registration_key | ||||
Proctorio | proctorio_secret_key | ||||
Pulumi | pulumi_access_token | ||||
PyPI | pypi_api_token | ||||
ReadMe | readmeio_api_access_token | ||||
redirect.pizza | redirect_pizza_api_token | ||||
Rootly | rootly_api_key | ||||
RubyGems | rubygems_api_key | ||||
Samsara | samsara_api_token | ||||
Samsara | samsara_oauth_access_token | ||||
Segment | segment_public_api_token | ||||
SendGrid | sendgrid_api_key | ||||
Sendinblue | sendinblue_api_key | ||||
Sendinblue | sendinblue_smtp_key | ||||
Shippo | shippo_live_api_token | ||||
Shippo | shippo_test_api_token | ||||
Shopify | shopify_access_token | ||||
Shopify | shopify_app_client_credentials | ||||
Shopify | shopify_app_client_secret | ||||
Shopify | shopify_app_shared_secret | ||||
Shopify | shopify_custom_app_access_token | ||||
Shopify | shopify_marketplace_token | ||||
Shopify | shopify_merchant_token | ||||
Shopify | shopify_partner_api_token | ||||
Shopify | shopify_private_app_password | ||||
Slack | slack_api_token | ||||
Slack | slack_incoming_webhook_url | ||||
Slack | slack_workflow_webhook_url | ||||
Square | square_access_token | ||||
Square | square_production_application_secret | ||||
Square | square_sandbox_application_secret | ||||
SSLMate | sslmate_api_key | ||||
SSLMate | sslmate_cluster_secret | ||||
Stripe | stripe_live_restricted_key | ||||
Stripe | stripe_api_key | ||||
Stripe | stripe_legacy_api_key | ||||
Stripe | stripe_test_restricted_key | ||||
Stripe | stripe_test_secret_key | ||||
Stripe | stripe_webhook_signing_secret | ||||
Supabase | supabase_service_key | ||||
Tableau | tableau_personal_access_token | ||||
Telegram | telegram_bot_token | ||||
Telnyx | telnyx_api_v2_key | ||||
Tencent Cloud | tencent_cloud_secret_id | ||||
Tencent WeChat | tencent_wechat_api_app_id | ||||
Twilio | twilio_access_token | ||||
Twilio | twilio_account_sid | ||||
Twilio | twilio_api_key | ||||
Typeform | typeform_personal_access_token | ||||
Uniwise | wiseflow_api_key | ||||
WakaTime | wakatime_pp_secret | ||||
WakaTime | wakatime_oauth_access_token | ||||
WakaTime | wakatime_oauth_refresh_token | ||||
Workato | workato_developer_api_token | ||||
WorkOS | workos_production_api_key | ||||
WorkOS | workos_staging_api_key | ||||
Yandex | yandex_iam_access_secret | ||||
Yandex | yandex_cloud_api_key | ||||
Yandex | yandex_cloud_iam_cookie | ||||
Yandex | yandex_cloud_iam_token | ||||
Yandex | yandex_dictionary_api_key | ||||
Yandex | YANDEX_PASSPORT_OAUTH_TOKEN | ||||
Yandex | yandex_predictor_api_key | ||||
Yandex | yandex_translate_api_key | ||||
Zuplo | zuplo_consumer_api_key |