Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.
All products
Sécurité du code

Modèles d’analyse des secrets

Dans cet article

Listes des secrets pris en charge et des partenaires avec lesquels GitHub travaille pour empêcher l’utilisation frauduleuse de secrets commités accidentellement.

Alertes d’analyse des secrets pour les partenaires s’exécute automatiquement sur les dépôts publics pour informer les fournisseurs de services des fuites de secrets sur GitHub.com.

Les Alertes d’analyse des secrets pour les utilisateurs sont disponibles gratuitement sur tous les dépôts publics. Les organisations qui utilisent GitHub Enterprise Cloud avec une licence pour GitHub Advanced Security peuvent également activer alertes d’analyse des secrets pour les utilisateurs sur leurs dépôts privés et internes. Pour plus d’informations, consultez « À propos de l’analyse des secrets » et « À propos de GitHub Advanced Security ».

À propos des modèles d’secret scanning

GitHub Enterprise Cloud gère ces jeux de modèles différents de secret scanning :

  1. Modèles de partenaires. Utilisés pour détecter les secrets potentiels dans tous les dépôts publics.

  2. Modèles d’alerte utilisateur. Utilisés pour détecter les secrets potentiels dans les référentiels avec les alertes d’analyse des secrets pour les utilisateurs activées. Pour plus d’informations, consultez « Secrets pris en charge pour les alertes utilisateur ».

  3. Modèles de protection par émissions de données. Utilisés pour détecter les secrets potentiels dans les référentiels avec secret scanning en tant que protection par émissions de données. Pour plus d’informations, consultez « Secrets pris en charge pour la protection par émission de données ».

Si vous pensez que secret scanning doit avoir détecté un secret commité dans votre dépôt, mais qu’il ne l’a pas fait, vous devez d’abord vérifier que GitHub prend en charge votre secret. Pour plus d’informations, consultez les sections ci-dessous. Pour plus d’informations sur la résolution des problèmes, consultez « Résolution des problèmes d’analyse des secrets ».

Secrets pris en charge pour les alertes de partenaires

GitHub Enterprise Cloud analyse actuellement les secrets émis par les fournisseurs de services suivants dans les référentiels publics et alerte le fournisseur de services approprié chaque fois qu’un secret est détecté dans une validation. Pour plus d’informations sur les alertes d’analyse des secrets pour les partenaires, consultez « À propos de l’analyse des secrets ».

Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.

PartenaireSecret pris en charge

Secrets pris en charge pour les alertes utilisateur

alertes d’analyse des secrets pour les utilisateurs : si activées, GitHub analyse les référentiels pour les secrets émis par les fournisseurs de services suivants et génère des Alertes d’analyse de secrets. Vous pouvez voir ces alertes sous l’onglet Sécurité du dépôt. Pour plus d’informations sur les alertes d’analyse des secrets pour les utilisateurs, consultez « À propos de l’analyse des secrets ».

Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.

Si vous utilisez l’API REST pour l’analyse des secrets, vous pouvez utiliser le Secret type pour signaler des secrets à partir d’émetteurs spécifiques. Pour plus d’informations, consultez « Analyse de secrets ».

Remarque : Vous pouvez également définir des modèles d’secret scanning pour votre dépôt, votre organisation ou votre entreprise. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ».

FournisseurSecret pris en chargeType de secret

Secrets pris en charge pour la protection par émission de données

L’Secret scanning en tant que protection des poussées vérifie si les dépôts contiennent des secrets émis par les fournisseurs de services suivants.

Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.

Les versions antérieures de certains jetons peuvent ne pas être prises en charge par la protection des poussées, car ces jetons peuvent générer un nombre plus élevé de faux positifs que leur version la plus récente. La protection des poussées peut également ne pas s’appliquer aux jetons hérités. Pour les jetons tels que les clés de stockage Azure, GitHub prend uniquement en charge les jetons récemment créés, pas les jetons qui correspondent aux modèles hérités. Pour plus d’informations sur les limitations de la protection des poussées, consultez « Résolution des problèmes d’analyse des secrets ».

FournisseurSecret pris en chargeType de secret

Pour aller plus loin