Gestion des Alertes d’analyse de secrets
- Dans votre entreprise, accédez à la page principale du dépôt.
- Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.
- Dans la barre latérale gauche, sous « Alertes de vulnérabilité », cliquez sur Secret scanning .
- Sous « Secret scanning », cliquez sur l’alerte que vous souhaitez afficher.
- Pour ignorer une alerte, sélectionnez le menu déroulant « Marquer comme », puis cliquez sur un motif pour la résolution d’une alerte.
Sécurisation des secrets compromis
Une fois qu’un secret a été commité dans un dépôt, vous devez considérer le secret comme compromis. GitHub recommande les actions suivantes pour les secrets compromis :
- Pour un GitHub personal access token compromis, supprimez le jeton compromis, créez un jeton et mettez à jour tous les services qui utilisent l’ancien jeton. Pour plus d’informations, consultez « Gestion de vos jetons d’accès personnels ».
- Pour tous les autres secrets, vérifiez d’abord que le secret commité dans GitHub AE est valide. Si c’est le cas, créez un secret, mettez à jour tous les services qui utilisent l’ancien secret, puis supprimez l’ancien secret.
Configuration des notifications pour les Alertes d’analyse de secrets
Quand un nouveau secret est détecté, GitHub AE avertit tous les utilisateurs ayant accès aux alertes de sécurité pour le dépôt en fonction de leurs préférences de notification. Ces utilisateurs sont les suivants :
- Administrateurs de dépôts
- Gestionnaires de sécurité
- Utilisateurs avec des rôles personnalisés avec accès en lecture/écriture
- Propriétaires d’organisation et propriétaires d’entreprise, s’ils sont administrateurs de dépôts où des secrets ont fuité
Remarque : Les auteurs de commit qui ont accidentellement commité des secrets seront notifiés, quelles que soient leurs préférences de notification.
Vous recevrez une notification par e-mail si :
- Vous surveillez le dépôt.
- Vous avez activé les notifications pour « Toutes les activités » ou pour les « Alertes de sécurité » personnalisées sur le dépôt
Pour plus d’informations sur la configuration des préférences de notification, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « Configuration de vos paramètres de surveillance pour un dépôt spécifique ».
Audit des réponses aux alertes d’analyse des secrets
Vous pouvez auditer les actions effectuées en réponse aux alertes secret scanning à l’aide des outils GitHub. Pour plus d’informations, consultez « Audit des alertes de sécurité ».