Skip to main content

À propos des alertes d’analyse des secrets

Découvrez les différents types de Alertes d’analyse de secrets.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Secret scanning est disponible pour les référentiels suivants :

  • Référentiels appartenant à l’organisation avec GitHub Advanced Security activé
  • Référentiels appartenant à l’utilisateur pour une entreprise avec GitHub Advanced Security activé

À propos des types d’alertes

Il existe deux types d’ :

  • Alertes d’analyse de secrets  : signalées aux utilisateurs dans l’onglet Sécurité du référentiel, lorsqu’un secret pris en charge est détecté dans le référentiel.
  • Alertes de protection push : signalées aux utilisateurs sous l’onglet Sécurité du référentiel, lorsqu’un contributeur contourne la protection push.

À propos des Alertes d’analyse de secrets

Lorsque GitHub détecte un secret pris en charge dans un référentiel avec secret scanning activé, un secret scanning est généré et affiché dans l’onglet Sécurité du référentiel.

Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.

À propos des alertes de protection des poussées

La protection push analyse les push pour rechercher les secrets pris en charge. Si la protection push détecte un secret pris en charge, elle bloque le push. Lorsqu’un contributeur contourne la protection push pour envoyer un secret au référentiel, une alerte de protection Push est générée et affichée sous l’onglet Sécurité du référentiel. Pour afficher toutes les alertes de protection push pour un référentiel, vous devez appliquer un filtre par bypassed: true sur la page des alertes. Pour plus d’informations, consultez « Affichage et filtrage des alertes à partir de l’analyse des secrets ».

Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.

Note

Les versions antérieures de certains jetons peuvent ne pas être prises en charge par la protection des poussées, car ces jetons peuvent générer un nombre plus élevé de faux positifs que leur version la plus récente. La protection des poussées peut également ne pas s’appliquer aux jetons hérités. Pour les jetons tels que les clés de stockage Azure, GitHub prend uniquement en charge les jetons récemment créés, pas les jetons qui correspondent aux modèles hérités. Pour plus d'informations sur les limitations de la protection des poussées, consultez « Résolution des problèmes d’analyse des secrets ».

Étapes suivantes

Pour aller plus loin