Skip to main content

Cette version de GitHub Enterprise Server ne sera plus disponible le 2024-06-29. Aucune publication de correctifs n’est effectuée, même pour les problèmes de sécurité critiques. Pour de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités, effectuez une mise à niveau vers la dernière version de GitHub Enterprise. Pour obtenir de l’aide sur la mise à niveau, contactez le support GitHub Enterprise.

Résolution des problèmes d’analyse des secrets

Si vous rencontrez des problèmes avec l’secret scanning, vous pouvez utiliser ces conseils pour vous aider à résoudre les problèmes.

Qui peut utiliser cette fonctionnalité ?

Secret scanning est disponible pour les référentiels détenus par l’organisation dans GitHub Enterprise Server si votre entreprise dispose d’une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos de l’analyse des secrets » et « À propos de GitHub Advanced Security ».

Remarque : votre administrateur de site doit activersecret scanning pour votre instance GitHub Enterprise Server afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Configuration de l’analyse de secrets pour votre appliance ».

Vous ne pourrez peut-être pas activer ni désactiver les secret scanning si un propriétaire d'entreprise a défini une stratégie au niveau de l'entreprise. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».

Détection de paires de modèles

L’Secret scanning détecte uniquement les paires de modèles, telles que les clés d’accès et les secrets AWS, si l’ID et le secret se trouvent dans le même fichier et que les deux sont poussés vers le dépôt. La création de paires permet de réduire les faux positifs, car les deux éléments d’une paire (l’ID et le secret) doivent être utilisés ensemble pour accéder à la ressource du fournisseur.

Les paires poussées vers des fichiers différents, ou pas poussées vers le même dépôt, n’aboutissent pas à des alertes. Pour plus d’informations sur les paires de modèles prises en charge, consultez le tableau dans « Modèles d'analyse des secrets ».

À propos des jetons GitHub hérités

Pour les jetons GitHub, nous vérifions la validité du secret pour déterminer si le secret est actif ou inactif. Cela signifie que pour les jetons hérités, l’secret scanning ne détecte pas de personal access token GitHub Enterprise Server sur GitHub Enterprise Cloud. De même, un personal access token GitHub Enterprise Cloud sera introuvable sur GitHub Enterprise Server.

Limitations de la protection des poussées

Si la protection des poussées n’a pas détecté un secret qui, selon vous, aurait dû être détecté, vérifiez d’abord que la protection des poussées prend en charge le type de secret dans la liste des secrets pris en charge. Pour plus d’informations, consultez Modèles d'analyse des secrets.

Si votre secret figure dans la liste prise en charge, les raisons pour lesquelles la protection des poussées peut ne pas le détecter sont diverses.

  • La protection des poussées bloque uniquement les secrets fuités sur une partie des modèles alertés par l’utilisateur les plus identifiables. Les contributeurs peuvent approuver les défenses de sécurité lorsque ces secrets sont bloqués, car il s’agit des modèles qui ont le plus faible nombre de faux positifs.
  • La version de votre secret est peut-être ancienne. Les versions antérieures de certains jetons peuvent ne pas être prises en charge par la protection des poussées, car ces jetons peuvent générer un nombre plus élevé de faux positifs que leur version la plus récente. La protection des poussées peut également ne pas s’appliquer aux jetons hérités. Pour les jetons tels que les clés de stockage Azure, GitHub prend uniquement en charge les jetons récemment créés, pas les jetons qui correspondent aux modèles hérités.
  • La poussée peut être trop lourde, par exemple, si vous essayez de pousser des milliers de fichiers volumineux. Une analyse de la protection des poussées peut expirer et ne pas bloquer un utilisateur si la poussée est trop importante. GitHub analyse et crée quand même des alertes, si nécessaire, après la poussée.
  • Si la poussée entraîne la détection de plus de cinq nouveaux secrets, nous vous montrerons uniquement les cinq premiers (nous vous montrerons toujours un maximum de cinq secrets à la fois).
  • Si une poussée contient plus de 1 000 secrets existants (c’est-à-dire des secrets pour lesquels des alertes ont déjà été créées), la protection des poussées ne bloque pas la poussée.