Skip to main content

Résolution des problèmes d’analyse des secrets

Lorsque vous utilisez secret scanning pour détecter les secrets dans votre référentiel ou les secrets sur le point d’être commités dans votre référentiel, vous devrez peut-être résoudre des problèmes inattendus.

Qui peut utiliser cette fonctionnalité ?

Secret scanning est disponible pour les référentiels suivants :

  • Référentiels appartenant à l’organisation avec GitHub Advanced Security activé
  • Référentiels appartenant à l’utilisateur pour une entreprise avec GitHub Advanced Security activé

Note

Votre administrateur de site doit activer l’secret scanning pour l’instance avant de pouvoir utiliser cette fonctionnalité. Pour plus d’informations, consultez « Configuration de l’analyse de secrets pour votre appliance ».

Vous ne pourrez peut-être pas activer ni désactiver les secret scanning si un propriétaire d'entreprise a défini une stratégie au niveau de l'entreprise. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».

Détection de paires de modèles

L’Secret scanning détecte uniquement les paires de modèles, telles que les clés d’accès et les secrets AWS, si l’ID et le secret se trouvent dans le même fichier et que les deux sont poussés vers le dépôt. La création de paires permet de réduire les faux positifs, car les deux éléments d’une paire (l’ID et le secret) doivent être utilisés ensemble pour accéder à la ressource du fournisseur.

Les paires poussées vers des fichiers différents, ou pas poussées vers le même dépôt, n’aboutissent pas à des alertes. Pour plus d’informations sur les paires de modèles prises en charge, consultez le tableau dans « Modèles d’analyse de secrets pris en charge ».

À propos des jetons GitHub hérités

Pour les jetons GitHub, nous vérifions la validité du secret pour déterminer si le secret est actif ou inactif. Cela signifie que pour les jetons hérités, l’secret scanning ne détecte pas de personal access token GitHub Enterprise Server sur GitHub Enterprise Cloud. De même, un personal access token GitHub Enterprise Cloud sera introuvable sur GitHub Enterprise Server.

Limitations de la protection des poussées

Si la protection des poussées n’a pas détecté un secret qui, selon vous, aurait dû être détecté, vérifiez d’abord que la protection des poussées prend en charge le type de secret dans la liste des secrets pris en charge. Pour plus d’informations, consultez Modèles d’analyse de secrets pris en charge.

Si votre secret figure dans la liste prise en charge, les raisons pour lesquelles la protection des poussées peut ne pas le détecter sont diverses.

  • La protection des poussées bloque uniquement les secrets fuités sur une partie des modèles alertés par l’utilisateur les plus identifiables. Les contributeurs peuvent approuver les défenses de sécurité lorsque ces secrets sont bloqués, car il s’agit des modèles qui ont le plus faible nombre de faux positifs.
  • La version de votre secret est peut-être ancienne. Les versions antérieures de certains jetons peuvent ne pas être prises en charge par la protection des poussées, car ces jetons peuvent générer un nombre plus élevé de faux positifs que leur version la plus récente. La protection des poussées peut également ne pas s’appliquer aux jetons hérités. Pour les jetons tels que les clés de stockage Azure, GitHub prend uniquement en charge les jetons récemment créés, pas les jetons qui correspondent aux modèles hérités.
  • La poussée peut être trop lourde, par exemple, si vous essayez de pousser des milliers de fichiers volumineux. Une analyse de la protection des poussées peut expirer et ne pas bloquer un utilisateur si la poussée est trop importante. GitHub analyse et crée quand même des alertes, si nécessaire, après la poussée.
  • Si la poussée entraîne la détection de plus de cinq nouveaux secrets, nous vous montrerons uniquement les cinq premiers (nous vous montrerons toujours un maximum de cinq secrets à la fois).
  • Si une poussée contient plus de 1 000 secrets existants (c’est-à-dire des secrets pour lesquels des alertes ont déjà été créées), la protection des poussées ne bloque pas la poussée.