Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.
All products
Sécurité du code

Cette version de GitHub Enterprise a été abandonnée le 2023-03-15. Aucune publication de correctifs n’est effectuée, même pour les problèmes de sécurité critiques. Pour de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités, effectuez une mise à niveau vers la dernière version de GitHub Enterprise. Pour obtenir de l’aide sur la mise à niveau, contactez le support GitHub Enterprise.

Gestion des alertes à partir de l’analyse des secrets

Dans cet article

Vous pouvez afficher et fermer les alertes pour les secrets archivés dans votre référentiel.

Qui peut utiliser cette fonctionnalité

People with admin access to a repository can view and dismiss secret scanning alerts for the repository.

Secret scanning est disponible pour les référentiels détenus par l’organisation dans GitHub Enterprise Server si votre entreprise dispose d’une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de l’analyse des secrets » et « À propos de GitHub Advanced Security ».

Gestion des Alertes d’analyse de secrets

  1. Dans votre instance GitHub Enterprise Server, accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité. Onglet Sécurité
  2. Dans la barre latérale gauche, sous « Alertes de vulnérabilité », cliquez sur Secret scanning .
  3. Sous « Secret scanning », cliquez sur l’alerte que vous souhaitez afficher.

1 Pour ignorer une alerte, sélectionnez le menu déroulant « Marquer comme », puis cliquez sur un motif pour la résolution d’une alerte.

Sécurisation des secrets compromis

Une fois qu’un secret a été commité dans un dépôt, vous devez considérer le secret comme compromis. GitHub recommande les actions suivantes pour les secrets compromis :

  • Pour un GitHub personal access token compromis, supprimez le jeton compromis, créez un jeton et mettez à jour tous les services qui utilisent l’ancien jeton. Pour plus d’informations, consultez « Managing your personal access tokens ».
  • Pour tous les autres secrets, vérifiez d’abord que le secret commité dans GitHub Enterprise Server est valide. Si c’est le cas, créez un secret, mettez à jour tous les services qui utilisent l’ancien secret, puis supprimez l’ancien secret.

Configuration des notifications pour les Alertes d’analyse de secrets

Quand un nouveau secret est détecté, GitHub Enterprise Server avertit tous les utilisateurs ayant accès aux alertes de sécurité pour le dépôt en fonction de leurs préférences de notification. Vous recevrez une notification par e-mail si :

  • vous surveillez le dépôt.
  • vous avez activé les notifications pour « Toutes les activités » ou pour les « Alertes de sécurité » personnalisées sur le dépôt

Vous serez également averti si vous êtes l’auteur de la validation qui contient le secret et que vous n’ignorez pas le dépôt.

Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « Configuration de vos paramètres de surveillance pour un dépôt spécifique ».

Audit des réponses aux alertes d’analyse des secrets

Vous pouvez auditer les actions effectuées en réponse aux alertes secret scanning à l’aide des outils GitHub. Pour plus d’informations, consultez « Audit des alertes de sécurité ».