Skip to main content

À propos de l’analyse des secrets

GitHub Enterprise Server analyse les types de secrets connus dans les dépôts pour éviter une utilisation frauduleuse des secrets validés accidentellement.

Les Secret scanning est disponible pour les référentiels détenus par l’organisation dans GitHub Enterprise Server si votre entreprise dispose d’une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos des secret scanning sur GitHub Enterprise Server » et « À propos de la GitHub Advanced Security ».

Remarque : votre administrateur de site doit activersecret scanning pour your GitHub Enterprise Server instance afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Configuration de secret scanning pour votre appliance ».

À propos de l’secret scanning

Si votre projet communique avec un service externe, vous pouvez utiliser un jeton ou une clé privée pour l’authentification. Les jetons et les clés privées sont des exemples de secrets qu’un fournisseur de services peut émettre. Si vous archivez un secret dans un dépôt, toute personne disposant d’un accès en lecture au dépôt peut l’utiliser pour accéder au service externe avec vos privilèges. Nous vous recommandons de stocker les secrets dans un emplacement dédié et sécurisé en dehors du dépôt de votre projet.

L’Secret scanning recherche les secrets dans l’ensemble de votre historique Git sur toutes les branches présentes dans votre dépôt GitHub, même si le dépôt est archivé.

Les fournisseurs de services peuvent collaborer avec GitHub afin de fournir leurs formats de secret pour l’analyse. Pour découvrir notre programme de partenariat, consultez « Programme de partenariat Secret scanning » dans la documentation GitHub Enterprise Cloud.

Vous pouvez également activer l’secret scanning en tant que protection des poussées (push) pour un dépôt ou une organisation. Quand vous activez cette fonctionnalité, l’secret scanning empêche les contributeurs de pousser du code comportant un secret détecté. Pour continuer, les contributeurs doivent supprimer le ou les secrets de la poussée ou, si nécessaire, contourner la protection. Pour plus d’informations, consultez « Protection des envois (push) avec l’secret scanning ».

À propos des secret scanning sur GitHub Enterprise Server

Secret scanning disponible sur tous les référentiels appartenant à l’organisation dans le cadre de GitHub Advanced Security. Cette fonctionnalité n’est pas disponible sur les référentiels appartenant à l’utilisateur. Lorsque vous activez secret scanning pour un référentiel, GitHub analyse le code à la recherche de modèles qui correspondent aux secrets utilisés par de nombreux fournisseurs de services. Lorsqu’un secret pris en charge est divulgué, GitHub Enterprise Server génère une alerte secret scanning. Pour plus d’informations, consultez « Modèles d’Secret scanning ».

Si vous êtes administrateur de référentiel, vous pouvez activer les secret scanning pour n’importe quel référentiel, y compris les référentiel archivés. Les propriétaires d’organisation peuvent également activer les secret scanning pour tous les référentiels ou pour tous les nouveaux référentiels au sein d’une organisation. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et« Gestion des paramètres de sécurité et d’analyse pour votre organisation ».

Vous pouvez également définir des modèles d’secret scanning pour un dépôt, une organisation ou une entreprise. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’secret scanning ».

Accès aux secret scanning alerts

Quand vous activez l’secret scanning pour un dépôt ou que vous poussez des commits sur un dépôt où l’secret scanning est activée, GitHub recherche dans le contenu de ces commits des secrets qui correspondent aux modèles définis par les fournisseurs de services et à tous les modèles personnalisés définis dans votre entreprise, organisation ou dépôt.

Si l’secret scanning détecte un secret, GitHub génère une alerte.

  • GitHub envoie une alerte par e-mail aux administrateurs du dépôt et aux propriétaires de l’organisation. Vous recevez une alerte si vous consultez le dépôt, et si vous avez activé les notifications pour les alertes de sécurité ou pour toutes les activités sur le dépôt.
  • Si le contributeur qui a commité le secret n’ignore pas le dépôt, GitHub envoie également une alerte par e-mail au contributeur. Les e-mails contiennent un lien vers l’alerte d’secret scanning associée. L’auteur du commit peut ensuite afficher l’alerte dans le dépôt et résoudre l’alerte.
  • GitHub affiche une alerte sous l’onglet Sécurité du dépôt.

Pour plus d’informations sur l’affichage et la résolution des secret scanning alerts, consultez « Gestion des alertes d’secret scanning ».

Les administrateurs de référentiel et les propriétaires d’organisation peuvent accorder aux utilisateurs et aux équipes l’accès aux secret scanning alerts. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».

Vous pouvez utiliser la vue d’ensemble de la sécurité pour voir au niveau de l’organisation les dépôts où l’secret scanning est activée et les alertes trouvées. Pour plus d’informations, consultez « Affichage de la vue d’ensemble de la sécurité ».

Vous pouvez également utiliser l’API REST pour monitorer les résultats de l’secret scanning sur vos référentiels ou votre organisation. Pour plus d’informations sur les points de terminaison d’API, consultez « Secret scanning ».

Pour aller plus loin