Skip to main content

À propos de l’analyse des secrets

GitHub Enterprise Cloud analyse les types de secrets connus dans les dépôts pour éviter une utilisation frauduleuse des secrets validés accidentellement.

Qui peut utiliser cette fonctionnalité ?

Alertes d’analyse des secrets pour les partenaires s’exécute automatiquement sur les référentiels publics et les packages npm publiques pour informer les fournisseurs de services des fuites de secrets sur GitHub.com.

Les Alertes d’analyse des secrets pour les utilisateurs sont disponibles gratuitement sur tous les dépôts publics appartenant à l’utilisateur. Les organisations qui utilisent GitHub Enterprise Cloud avec une licence pour GitHub Advanced Security peuvent également activer alertes d’analyse des secrets pour les utilisateurs sur leurs dépôts privés et internes. De plus, alertes d’analyse des secrets pour les utilisateurs sont disponibles et en version bêta sur les référentiels appartenant à l’utilisateur pour GitHub Enterprise Cloud avec Enterprise Managed Users. Pour plus d’informations, consultez « À propos de l’analyse des secrets » et « À propos de GitHub Advanced Security ».

Pour plus d’informations sur la façon dont vous pouvez essayer GitHub Advanced Security gratuitement, consultez « Configuration d’un essai de GitHub Advanced Security ».

À propos de l’secret scanning

Si votre projet communique avec un service externe, vous pouvez utiliser un jeton ou une clé privée pour l’authentification. Les jetons et les clés privées sont des exemples de secrets qu’un fournisseur de services peut émettre. Si vous archivez un secret dans un dépôt, toute personne disposant d’un accès en lecture au dépôt peut l’utiliser pour accéder au service externe avec vos privilèges. Nous vous recommandons de stocker les secrets dans un emplacement dédié et sécurisé en dehors du dépôt de votre projet.

Secret scanning recherche les secrets dans l’ensemble de votre historique Git sur toutes les branches présentes dans votre dépôt GitHub, même si le dépôt est archivé.

En outre, secret scanning analyse les éléments suivants :

  • Descriptions et commentaires dans les problèmes.
  • Titres, descriptions et commentaires dans les problèmes historiques ouverts et fermés. Une notification est envoyée au partenaire concerné lorsqu’un modèle de partenaire historique est détecté.
  • Titres, descriptions et commentaires dans les demandes de tirage.
  • Titres, descriptions et commentaires dans GitHub Discussions

Remarque : l’analyse du contenu dans les demandes de tirage et GitHub Discussions est actuellement en phase bêta et est sujette à modification.

.

L’Secret scanning est disponible sur GitHub.com sous deux formes :

  1. Alertes d’analyse des secrets pour les partenaires. S’exécute automatiquement sur tous les dépôts publics et les packages npm publics. Les fournisseurs de services peuvent collaborer avec GitHub afin de fournir leurs formats de secret pour l’analyse (d’où le terme « collaborer »). Pour en savoir plus sur notre programme de partenariat, consultez « Programme de partenariat d’analyse des secrets ». Toutes les chaînes qui correspondent aux modèles fournis par les partenaires d’analyse des secrets sont signalées directement au partenaire approprié. Pour plus d’informations, consultez la section « À propos des alertes d’analyse des secrets pour les partenaires » ci-dessous.

  2. Alertes d’analyse des secrets pour les utilisateurs. Ces alertes sont signalées sur GitHub.com et peuvent être des alertes à haut niveau de confiance ou des alertes non fournisseur (telles que des clés privées). Vous pouvez activer et configurer une analyse supplémentaire pour les dépôts appartenant à des organisations qui utilisent GitHub Enterprise Cloud pour tous les dépôts publics (gratuitement) et pour les dépôts privés et internes lorsque vous disposez d’une licence pour GitHub Advanced Security. Les propriétaires d’entreprise peuvent gérer l’activation automatique de GitHub Advanced Security pour les nouveaux référentiels détenus par Enterprise Managed Users avec un paramètre au niveau de l’entreprise.

Toutes les chaînes qui correspondent aux modèles fournis par les partenaires d’analyse des secrets, par d’autres fournisseurs de services ou définis par vous ou votre organisation sont signalées comme alertes sous l’onglet Sécurité des dépôts. Si une chaîne dans un dépôt public correspond à un modèle de partenaire, elle est également signalée au partenaire. Pour plus d’informations, consultez la section « À propos des alertes d’analyse des secrets pour les utilisateurs » ci-dessous.

Vous pouvez auditer les actions effectuées en réponse aux alertes secret scanning à l’aide des outils GitHub. Pour plus d’informations, consultez « Audit des alertes de sécurité ».

Vous pouvez également activer l’secret scanning en tant que protection des poussées (push) pour un dépôt ou une organisation. Quand vous activez cette fonctionnalité, l’secret scanning empêche les contributeurs de pousser du code comportant un secret détecté. Pour continuer, les contributeurs doivent supprimer le ou les secrets de l’envoi (push) ou si nécessaire contourner la protection. Les administrateurs peuvent également spécifier un lien personnalisé qui s’affiche au contributeur lorsqu’un envoi (push) est bloqué. Ce lien peut contenir des ressources spécifiques à l’organisation destinées à aider les contributeurs. Pour plus d’informations, consultez « Protection des poussées pour les référentiels et les organisations ».

En outre, la protection push pour les utilisateurs vous protège automatiquement contre la validation accidentelle des secrets dans les dépôts publics, que l’option secret scanning soit activée ou non pour le référentiel lui-même. La protection push pour les utilisateurs est activée par défaut, mais vous pouvez désactiver la fonctionnalité à tout moment via vos paramètres de compte personnel. Pour plus d’informations, consultez « Protection par émission de données pour les utilisateurs ».

Remarque : Lorsque vous dupliquez un dépôt avec secret scanning ou la protection push activée, ces fonctionnalités ne sont pas activées par défaut sur le dupliqué (fork). Vous pouvez activer secret scanning ou la protection push sur le dupliqué (fork) de la même manière que vous les activez sur un référentiel autonome.

À propos des alertes d’analyse des secrets pour les partenaires

Quand vous rendez un dépôt public ou que vous poussez des modifications vers un dépôt public, GitHub Enterprise Cloud analyse toujours le code à la recherche des secrets qui correspondent aux modèles de partenaires. Les packages publics du registre npm sont également analysés. Si l’secret scanning détecte un secret potentiel, nous informons le fournisseur de services qui l’a émis. Le fournisseur de services valide la chaîne, puis décide de révoquer ou non le secret, d’émettre un nouveau secret ou de vous contacter directement. Son action dépend des risques associés pour vous ou lui. Pour plus d’informations, consultez « Modèles d'analyse des secrets ».

Vous ne pouvez pas changer la configuration de l’secret scanning pour les modèles de partenaires sur les référentiels publics.

À propos des alertes d’analyse des secrets pour les utilisateurs

Alertes d’analyse des secrets pour les utilisateurs est disponible gratuitement pour tous les référentiels publics, et pour les référentiels privés et internes appartenant aux organisations utilisant GitHub Enterprise Cloud avec une licence pour GitHub Advanced Security. De plus, alertes d’analyse des secrets pour les utilisateurs sont disponibles et en version bêta sur les référentiels appartenant à l’utilisateur pour GitHub Enterprise Cloud avec Enterprise Managed Users.

Quand vous activez l’secret scanning pour un dépôt, GitHub analyse le code à la recherche des modèles qui correspondent aux secrets utilisés par de nombreux fournisseurs de services. Une fois l’analyse terminée, GitHub envoie une alerte par e-mail aux propriétaires de l’entreprise et de l’organisation, même si aucun secret n’a été trouvé. Pour plus d’informations sur le contenu analysé au sein du dépôt, consultez « À propos de secret scanning » ci-dessus.

Lorsqu’un secret pris en charge est divulgué, GitHub Enterprise Cloud génère une alerte secret scanning. En outre, GitHub exécute régulièrement une analyse complète de l’historique Git du contenu existant dans les dépôts GitHub Advanced Security où la fonction secret scanning est activée et envoie des notifications d’alerte en suivant les paramètres de notification d’alerte secret scanning. Les alertes utilisateur peuvent être de deux types : alertes à haut niveau de confiance ou alertes non fournisseur. Pour plus d’informations, consultez « À propos des alertes utilisateur ».

Si vous êtes administrateur de dépôt, vous pouvez activer l’alertes d’analyse des secrets pour les utilisateurs pour n’importe quel dépôt , y compris les dépôt archivés. Les propriétaires d’organisation peuvent également activer les alertes d’analyse des secrets pour les utilisateurs pour tous les dépôts ou pour tous les nouveaux dépôts au sein d’une organisation. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « Gestion des paramètres de sécurité et d'analyse pour votre organisation ».

propriétaires d’une entreprise avec Enterprise Managed Users peuvent gérer l’activation automatique de caractéristiques GitHub Advanced Security telles que secret scanning pour les nouveaux référentiels appartenant à l’utilisateur avec un paramètre d’alignement Enterprise. Pour plus d’informations, consultez « Gestion des fonctionnalités GitHub Advanced Security pour votre entreprise ».

Vous pouvez également définir des modèles secret scanning pour un référentiel, une organisation ou une entreprise. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ».

GitHub stocke les secrets détectés en utilisant le chiffrement symétrique, à la fois en transit et au repos.

Accès aux Alertes d’analyse de secrets

Quand vous activez l’secret scanning pour un dépôt ou que vous poussez des commits sur un dépôt où l’secret scanning est activée, GitHub recherche dans le contenu des secrets qui correspondent aux modèles définis par les fournisseurs de services et à tous les modèles personnalisés définis dans votre entreprise, organisation ou dépôt.

Lorsque secret scanning détecte un secret, GitHub génère une alerte.

  • GitHub envoie une alerte par e-mail aux administrateurs du dépôt et aux propriétaires de l’organisation. Vous recevrez une alerte si vous surveillez le référentiel , si vous avez activé les notifications pour les alertes de sécurité ou pour toutes les activités sur le référentiel , et si, dans vos paramètres de notification, vous avez choisi de recevoir des notifications par e-mail pour les référentiels que vous surveillez.
  • Si la personne qui a introduit le secret n’ignore pas le dépôt, GitHub lui envoie également une alerte par e-mail. Les e-mails contiennent un lien vers l’alerte d’secret scanning associée. La personne qui a introduit le secret peut ensuite afficher l’alerte dans le référentiel et résoudre l’alerte.
  • GitHub affiche une alerte sous l’onglet Sécurité du dépôt.

Pour plus d’informations sur l’affichage et la résolution des Alertes d’analyse de secrets, consultez « Gestion des alertes à partir de l’analyse des secrets ».

Pour plus d’informations sur la configuration des notifications pour Alertes d’analyse de secrets, consultez « Configuration des notifications pour les alertes d’analyse des secrets ».

Les administrateurs de référentiel et les propriétaires d’organisation peuvent accorder aux utilisateurs et aux équipes l’accès aux Alertes d’analyse de secrets. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».

Vous pouvez utiliser la vue d'ensemble de la sécurité pour obtenir une vue au niveau de l'organisation des référentiels qui ont activé secret scanning et des alertes trouvées. Pour plus d’informations, consultez « À propos de la vue d’ensemble de la sécurité ».

Vous pouvez également utiliser l’API REST pour monitorer les résultats de l’secret scanning sur vos référentiels. Pour plus d’informations sur les points de terminaison d’API, consultez « Points de terminaison d’API REST pour l’analyse de secrets ».

Pour aller plus loin