Skip to main content

Cette version de GitHub Enterprise Server n'est plus disponible depuis le 2024-03-26. Aucune publication de correctifs n’est effectuée, même pour les problèmes de sécurité critiques. Pour de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités, effectuez une mise à niveau vers la dernière version de GitHub Enterprise. Pour obtenir de l’aide sur la mise à niveau, contactez le support GitHub Enterprise.

Gestion des alertes à partir de l’analyse des secrets

Vous pouvez afficher, évaluer et corriger les alertes relatives aux secrets enregistrés dans votre référentiel.

Qui peut utiliser cette fonctionnalité ?

People with admin access to a repository can view and dismiss secret scanning alerts for the repository.

Secret scanning est disponible pour les référentiels détenus par l’organisation dans GitHub Enterprise Server si votre entreprise dispose d’une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de l’analyse des secrets » et « À propos de GitHub Advanced Security ».

À propos de la page d'alerte secret scanning

Quand vous activez l’secret scanning pour un dépôt ou que vous poussez des commits sur un dépôt où l’secret scanning est activée, GitHub recherche dans le contenu des secrets qui correspondent aux modèles définis par les fournisseurs de services et à tous les modèles personnalisés définis dans votre entreprise, organisation ou dépôt.

Lorsque secret scanning détecte un secret, GitHub génère une alerte. GitHub affiche une alerte sous l’onglet Sécurité du dépôt.

Affichage des alertes

  1. Dans votre instance GitHub Enterprise Server, accédez à la page principale du dépôt.
  2. Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité. Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Sécurité » est mis en évidence avec un encadré orange foncé.
  3. Dans la barre latérale gauche, sous « Alertes de vulnérabilité », cliquez sur Secret scanning .
  4. Sous « Secret scanning », cliquez sur l’alerte que vous souhaitez afficher.

Filtrage des alertes

Vous pouvez appliquer différents filtres à la liste des alertes pour vous aider à trouver celles qui vous intéressent. Vous pouvez utiliser les menus déroulants au-dessus de la liste des alertes ou entrer les qualificateurs répertoriés dans la table dans la barre de recherche.

QualificateurDescription
is:openAffiche les alertes ouvertes.
is:closedAffiche les alertes fermées.
secret-type:SECRET-NAMEAffiche des alertes pour un type de secret spécifique, par exemple secret-type:github_personal_access_token. Pour une liste des types de secret pris en charge, consultez « Modèles d'analyse des secrets. »
provider:PROVIDER-NAMEAffiche des alertes pour un fournisseur spécifique, par exemple provider:github. Pour obtenir la liste des partenaires pris en charge, consultez « Modèles d'analyse des secrets ».

Correction des alertes

Une fois qu’un secret a été commité dans un dépôt, vous devez considérer le secret comme compromis. GitHub recommande les actions suivantes pour les secrets compromis :

  • Pour un GitHub personal access token compromis, supprimez le jeton compromis, créez un jeton et mettez à jour tous les services qui utilisent l’ancien jeton. Pour plus d’informations, consultez « Gestion de vos jetons d'accès personnels ».
  • Pour tous les autres secrets, vérifiez d’abord que le secret commité dans GitHub Enterprise Server est valide. Si c’est le cas, créez un secret, mettez à jour tous les services qui utilisent l’ancien secret, puis supprimez l’ancien secret.

Alertes de fermeture

  1. Dans votre instance GitHub Enterprise Server, accédez à la page principale du dépôt.

  2. Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité. Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Sécurité » est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale gauche, sous « Alertes de vulnérabilité », cliquez sur Secret scanning .

  4. Sous « Secret scanning », cliquez sur l’alerte que vous souhaitez afficher.

  5. Pour ignorer une alerte, sélectionnez le menu déroulant « Fermer comme », puis cliquez sur un motif pour résoudre une alerte.

    Capture d’écran d’une alerte secret scanning. Un menu déroulant, intitulé « Fermer en tant que », est développé et mis en évidence par un contour orange foncé.

  6. Si vous le souhaitez, dans le champ « Commentaire », ajoutez un commentaire pour l’action Ignorer. Le commentaire de l’action Ignorer est ajouté à la chronologie des alertes et peut être utilisé comme justification lors de l’audit et de la création de rapports. Vous pouvez afficher l’historique de toutes les alertes ignorées et les commentaires de rejet dans la chronologie des alertes. Vous pouvez également récupérer ou définir un commentaire à l’aide de l’API Secret scanning. Le commentaire est contenu dans le champ resolution_comment. Pour plus d’informations, consultez « Points de terminaison d’API REST pour l’analyse de secrets » dans la documentation de l’API REST.

  7. Cliquez sur Fermer l’alerte.

Configuration des notifications pour les Alertes d’analyse de secrets

Les notifications sont différentes pour les analyses incrémentielles et les analyses historiques.

Analyses incrémentielles

Quand un nouveau secret est détecté, GitHub Enterprise Server avertit tous les utilisateurs ayant accès aux alertes de sécurité pour le dépôt en fonction de leurs préférences de notification. Ces utilisateurs sont les suivants :

  • Administrateurs de dépôts
  • Gestionnaires de sécurité
  • Utilisateurs avec des rôles personnalisés avec accès en lecture/écriture
  • Propriétaires d’organisation et propriétaires d’entreprise, s’ils sont administrateurs de dépôts où des secrets ont fuité

Remarque : Les auteurs de commit qui ont accidentellement commité des secrets seront notifiés, quelles que soient leurs préférences de notification.

Vous recevrez une notification par e-mail si :

  • Vous surveillez le dépôt.
  • Vous avez activé les notifications pour « Toutes les activités » ou pour les « Alertes de sécurité » personnalisées sur le dépôt

Pour plus d’informations sur la configuration des préférences de notification, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « Configuration de vos paramètres de surveillance pour un dépôt spécifique ».

Analyses historiques

Pour les analyses historiques, GitHub Enterprise Server notifie les utilisateurs suivants :

  • Les propriétaires d’organisation, les propriétaires d’entreprise et les responsables de la sécurité — chaque fois qu’une analyse historique est terminée, même si aucun secret n’est trouvé.
  • Les administrateurs de dépôts, les responsables de la sécurité et les utilisateurs ayant des rôles personnalisés avec accès en lecture/écriture — chaque fois qu’une analyse historique détecte un secret et en fonction de leurs préférences de notification.

Nous ne notifions pas les auteurs de commit.

Pour plus d’informations sur la configuration des préférences de notification, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « Configuration de vos paramètres de surveillance pour un dépôt spécifique ».

Audit des réponses aux alertes d’analyse des secrets

Vous pouvez auditer les actions effectuées en réponse aux alertes secret scanning à l’aide des outils GitHub. Pour plus d’informations, consultez « Audit des alertes de sécurité ».