Nommage de vos secrets
Conseil
Pour vous assurer que GitHub retire correctement vos secrets dans les journaux, évitez d’utiliser des données structurées comme valeurs de secrets.
Les règles suivantes s’appliquent aux noms de secrets :
- Peuvent uniquement contenir des caractères alphanumériques (
[a-z]
,[A-Z]
,[0-9]
) ou des traits de soulignement (_
). Les espaces ne sont pas autorisés. - Ne doit pas commencer par le préfixe
GITHUB_
. - Ne doit pas commencer par un chiffre.
- Ne sont pas sensibles à la casse lorsqu’ils sont référencés. GitHub enregistre les noms de secrets en majuscules, quelle que soit la façon dont ils sont entrés.
- Doivent être uniques au référentiel, à l’organisation ou à l’entreprise où ils sont créés.
S’il existe un secret du même nom à plusieurs niveaux, le secret au niveau le plus bas est prioritaire. Par exemple, si un secret au niveau de l’organisation porte le même nom qu’un secret au niveau du dépôt, celui-ci est prioritaire. De même, si une organisation, un dépôt et un environnement ont tous un secret portant le même nom, le secret au niveau de l’environnement est prioritaire.
Limites pour les secrets
Vous pouvez stocker jusqu’à 1 000 secrets d’organisation, 100 secrets de dépôt et 100 secrets d’environnement.
Un workflow créé dans un dépôt peut accéder au nombre de secrets suivant :
- Les 100 secrets du dépôt.
- Si le dépôt a accès à plus de 100 secrets d’organisation, le workflow ne peut utiliser que les 100 premiers secrets d’organisation (triés par ordre alphabétique par nom de secret).
- Les 100 secrets d’environnement.
La taille des secrets est limitée à 48 ko. Pour stocker des secrets plus volumineux, consultez Using secrets in GitHub Actions.
Lorsque GitHub Actions lit des secrets
Les secrets de l’organisation et du dépôt sont lus quand une exécution de workflow est mise en file d’attente, et les secrets de l’environnement sont lus quand un travail référençant l’environnement démarre.
Secrets supprimés automatiquement
GitHub supprime automatiquement les informations sensibles suivantes des journaux de workflow.
- Clés Azure 32 octets et 64 octets
- Mots de passe d’application cliente Azure AD
- Clés du cache Azure
- Clés Azure Container Registry
- Clés d’hôte Azure Functions
- Clés Recherche Azure
- Chaînes de connexion de base de données
- En-têtes de jeton du porteur HTTP
- JWT
- Jetons d’auteur NPM
- Clés d’API NuGet
- Jetons d’installation GitHub v1
- Jetons d’installation GitHub v2 (
ghp
,gho
,ghu
,ghs
,ghr
) - PAT GitHub v2