À propos de l’secret scanning
Si votre projet communique avec un service externe, vous pouvez utiliser un jeton ou une clé privée pour l’authentification. Les jetons et les clés privées sont des exemples de secrets qu’un fournisseur de services peut émettre. Si vous archivez un secret dans un dépôt, toute personne disposant d’un accès en lecture au dépôt peut l’utiliser pour accéder au service externe avec vos privilèges. Nous vous recommandons de stocker les secrets dans un emplacement dédié et sécurisé en dehors du dépôt de votre projet.
L’Secret scanning recherche les secrets dans l’ensemble de votre historique Git sur toutes les branches présentes dans votre dépôt GitHub, même si le dépôt est archivé.
Vous pouvez auditer les actions effectuées en réponse aux alertes secret scanning à l’aide des outils GitHub. Pour plus d’informations, consultez « Audit des alertes de sécurité ».
Les fournisseurs de services peuvent collaborer avec GitHub afin de fournir leurs formats de secret pour l’analyse. Pour découvrir notre programme de partenariat, consultez « Programme de partenariat d’analyse des secrets » dans la documentation GitHub Enterprise Cloud.
Vous pouvez également activer l’secret scanning en tant que protection des poussées (push) pour un dépôt ou une organisation. Quand vous activez cette fonctionnalité, l’secret scanning empêche les contributeurs de pousser du code comportant un secret détecté. Pour continuer, les contributeurs doivent supprimer le ou les secrets de la poussée ou, si nécessaire, contourner la protection. Pour plus d’informations, consultez « Protection des poussées (push) avec l’analyse des secrets ».
À propos des analyse des secrets sur GitHub AE
Analyse des secrets est disponible sur tous les référentiels appartenant à l’organisation dans le cadre de GitHub Advanced Security. La fonctionnalité n’est pas disponible sur les dépôts appartenant à l’utilisateur. Lorsque vous activez l’secret scanning pour un dépôt, GitHub analyse le code à la recherche de modèles qui correspondent aux secrets utilisés par de nombreux fournisseurs de services.
Lorsqu’un secret pris en charge est divulgué, GitHub AE génère une alerte secret scanning. Pour plus d’informations, consultez « Modèles d’Secret scanning ».
Si vous êtes administrateur de référentiel, vous pouvez activer les analyse des secrets pour n’importe quel référentiel, y compris les référentiel archivés. Les propriétaires d’organisation peuvent également activer les analyse des secrets pour tous les dépôts ou pour tous les nouveaux dépôts au sein d’une organisation. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « Gestion des paramètres de sécurité et d’analyse pour votre organisation ».
Vous pouvez également définir des modèles secret scanning pour un référentiel, une organisation ou une entreprise. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ».
Accès aux Alertes d’analyse de secrets
Quand vous activez l’secret scanning pour un dépôt ou que vous poussez des commits sur un dépôt où l’secret scanning est activée, GitHub recherche dans le contenu de ces commits des secrets qui correspondent aux modèles définis par les fournisseurs de services et à tous les modèles personnalisés définis dans votre entreprise, organisation ou dépôt.
Si l’secret scanning détecte un secret, GitHub génère une alerte.
- GitHub envoie une alerte par e-mail aux administrateurs du dépôt et aux propriétaires de l’organisation. Vous recevrez une alerte si vous surveillez le référentiel , et si vous avez activé les notifications pour les alertes de sécurité ou pour toutes les activités sur le référentiel .
- Si le contributeur qui a commité le secret n’ignore pas le dépôt, GitHub envoie également une alerte par e-mail au contributeur. Les e-mails contiennent un lien vers l’alerte d’secret scanning associée. L’auteur du commit peut ensuite afficher l’alerte dans le dépôt et résoudre l’alerte.
- GitHub affiche une alerte sous l’onglet Sécurité du dépôt.
Pour plus d’informations sur l’affichage et la résolution des Alertes d’analyse de secrets, consultez « Gestion des alertes à partir de l’analyse des secrets ».
Les administrateurs de référentiel et les propriétaires d’organisation peuvent accorder aux utilisateurs et aux équipes l’accès aux Alertes d’analyse de secrets. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».
Vous pouvez utiliser la vue d’ensemble de la sécurité pour voir au niveau de l’organisation les référentiels où l’secret scanning est activée et les alertes trouvées. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».
Vous pouvez également utiliser l’API REST pour monitorer les résultats de l’secret scanning sur vos référentiels. Pour plus d’informations sur les points de terminaison d’API, consultez « Analyse de secrets ».