Skip to main content

Gestion des alertes à partir de l’analyse des secrets

Vous pouvez afficher, évaluer et corriger les alertes relatives aux secrets enregistrés dans votre référentiel.

Qui peut utiliser cette fonctionnalité ?

People with admin access to a repository can view and dismiss secret scanning alerts for the repository.

Alertes d’analyse des secrets pour les partenaires s’exécute automatiquement sur les référentiels publics et les packages npm publiques pour informer les fournisseurs de services des fuites de secrets sur GitHub.com.

Les Alertes d’analyse des secrets pour les utilisateurs sont disponibles gratuitement sur tous les dépôts publics appartenant à l’utilisateur. Les organisations qui utilisent GitHub Enterprise Cloud avec une licence pour GitHub Advanced Security peuvent également activer alertes d’analyse des secrets pour les utilisateurs sur leurs dépôts privés et internes. De plus, alertes d’analyse des secrets pour les utilisateurs sont disponibles et en version bêta sur les référentiels appartenant à l’utilisateur pour GitHub Enterprise Cloud avec Enterprise Managed Users. Pour plus d’informations, consultez « À propos de l’analyse des secrets » et « À propos de GitHub Advanced Security ».

Pour plus d’informations sur la façon dont vous pouvez essayer GitHub Advanced Security gratuitement, consultez « Configuration d’un essai de GitHub Advanced Security ».

À propos de la page d'alerte secret scanning

Quand vous activez l’secret scanning pour un dépôt ou que vous poussez des commits sur un dépôt où l’secret scanning est activée, GitHub recherche dans le contenu des secrets qui correspondent aux modèles définis par les fournisseurs de services et à tous les modèles personnalisés définis dans votre entreprise, organisation ou dépôt.

Lorsque secret scanning détecte un secret, GitHub génère une alerte. GitHub affiche une alerte sous l’onglet Sécurité du dépôt.

Pour vous aider à trier les alertes plus efficacement, GitHub sépare les alertes en deux listes :

  • Alertes à haut niveau de confiance.
  • Alertes Autres.

Capture d'écran de l'affichage des alertes secret scanning. Le bouton permettant de basculer entre les alertes « Haut niveau de confiance » et « Autres » est mis en surbrillance avec un contour orange.

Liste des alertes à haut niveau de confiance

La liste des alertes « à haut niveau de confiance » affiche les alertes relatives aux modèles pris en charge et aux modèles personnalisés spécifiés. Cette liste est toujours l'affichage par défaut de la page alertes.

Liste des alertes Autres

La liste des alertes « Autres » affiche des alertes qui concernent des modèles non fournisseurs (tels que des clés privées), ou des secrets génériques détectés à l'aide de l'IA (par exemple, les mots de passe). Ces types d'alertes ont un taux plus élevé de faux positifs.

En outre, les alertes qui appartiennent à cette catégorie :

  • Sont limitées en quantité à 5 000 alertes par référentiel (cela inclut les alertes ouvertes et fermées).
  • Ne sont pas affichés dans les vues récapitulatives de la vue d'ensemble de la sécurité, mais uniquement dans la vue « Secret scanning ».
  • Seuls les cinq premiers emplacements détectés sont affichés sur GitHub pour les modèles non fournisseurs, et seul le premier emplacement détecté est affiché pour les secrets génériques détectés par l'IA.

Pour que GitHub recherche des motifs non fournisseurs et des secrets génériques, vous devez d'abord activer la fonctionnalités pour votre référentiel ou votre organisation. Pour plus d'informations, consultez « Configuration de l’analyse des secrets pour vos dépôts » et « AUTOTITLE. »

Affichage des alertes

  1. Dans GitHub.com, accédez à la page principale du dépôt.

  2. Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité. Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Sécurité » est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale gauche, sous « Alertes de vulnérabilité », cliquez sur Secret scanning .

  4. Si vous le souhaitez, vous pouvez basculer sur « Autre » pour consulter les alertes relatives aux modèles non fournisseurs ou aux secrets génériques détectés à l'aide de l'IA.

  5. Sous « Secret scanning », cliquez sur l’alerte que vous souhaitez afficher.

    Note : Seules les personnes disposant d’autorisations d’administrateur dans le référentiel contenant un secret divulgué peuvent afficher les détails de l’alerte de sécurité et les métadonnées de jeton pour une alerte. Les propriétaires d’entreprise peuvent demander un accès temporaire au référentiel à cet effet.

Filtrage des alertes

Vous pouvez appliquer différents filtres à la liste des alertes pour vous aider à trouver celles qui vous intéressent. Vous pouvez utiliser les menus déroulants au-dessus de la liste des alertes ou entrer les qualificateurs répertoriés dans la table dans la barre de recherche.

QualificateurDescription
is:openAffiche les alertes ouvertes.
is:closedAffiche les alertes fermées.
bypassed: trueAffiche des alertes pour les secrets où la protection Envoyer a été ignorée. Pour plus d’informations, consultez « Protection des poussées pour les référentiels et les organisations ».
validity:activeAffiche des alertes pour les secrets qui sont toujours actifs. Pour plus d'informations sur les états de validité, consultez « Vérification de la validité d'un secret. »
validity:inactiveAffiche des alertes pour les secrets qui ne sont plus actifs.
validity:unknownAffiche des alertes pour les secrets où l'état de validité du secret est inconnu.
secret-type:SECRET-NAMEAffiche des alertes pour un type de secret spécifique, par exemple secret-type:github_personal_access_token. Pour une liste des types de secret pris en charge, consultez « Modèles d'analyse des secrets. »
provider:PROVIDER-NAMEAffiche des alertes pour un fournisseur spécifique, par exemple provider:github. Pour obtenir la liste des partenaires pris en charge, consultez « Modèles d'analyse des secrets ».
confidence:highAffiche des alertes pour les secrets à haut niveau de confiance, qui sont liés aux secrets pris en charge et aux modèles personnalisés. Pour obtenir la liste des modèles à haut niveau de confiance pris en charge, consultez « Modèles d'analyse des secrets .»
confidence:otherAffiche des alertes pour les motifs non liés au fournisseur, tels que les clés privées, et les secrets génériques détectés par l'IA, tels que les mots de passe. Pour obtenir la liste des modèles non fournisseurs pris en charge, consultez « Modèles d'analyse des secrets. » Pour plus d'informations sur les secrets génériques détectés par l'IA, consultez « À propos de la détection de secrets génériques avec l’analyse des secrets. »

Évaluation des alertes

Certaines fonctions supplémentaires peuvent vous aider à évaluer les alertes afin de mieux les hiérarchiser et les gérer. Vous pouvez :

Vérification de la validité d'un secret

Remarque : les vérifications de validité pour les modèles de partenaires sont actuellement en version bêta et sujettes à modification.

Les vérifications de validité vous aident à classer par ordre de priorité les alertes en vous indiquant quels secrets sont active ou inactive. Un secret active est un secret qui pourrait encore être exploité, de sorte que ces alertes doivent être examinées et corrigées comme une priorité.

Par défaut, GitHub vérifie la validité des jetons GitHub et affiche l'état de validité du jeton dans l'affichage des alertes.

Vous pouvez également choisir d'activer les vérifications de validité pour les modèles partenaires. Une fois activé, GitHub vérifiera périodiquement la validité d'une information d'identification détectée, en envoyant le secret directement au fournisseur, dans le cadre du programme officiel de partenariat de GitHub pour l'analyse des secrets. GitHub effectue généralement des requêtes GET pour vérifie la validité des informations d'identification, sélectionne les points de terminaison les moins intrusifs et sélectionne les points de terminaison qui ne retournent aucune information personnelle.

GitHub affiche l'état de validation du secret dans la vue d'alerte.

ValiditéRésultats
Secret actifGitHub a confirmé que ce secret est actif
Secret actifGitHub a vérifié auprès du fournisseur de ce secret et a constaté que le secret est actif
Secret éventuellement actifGitHub ne prend pas encore en charge les vérifications de validation pour ce type de jeton
Secret éventuellement actifGitHub n’a pas pu vérifier ce secret
Le secret est indiqué comme inactifVous devez vous assurer qu’aucun accès non autorisé n’a déjà eu lieu

Les vérifications de validité des modèles partenaires sont disponibles sur tous les types de référentiels sur GitHub.com. Pour utiliser cette caractéristique, vous devez disposer d’une licence pour GitHub Advanced Security.

Pour plus d'informations sur la façon d'activer la vérification de validité pour les modèles partenaires, consultez « Configuration de l’analyse des secrets pour vos dépôts ». Pour plus d'informations sur les modèles de partenaires actuellement pris en charge, consultez « Modèles d'analyse des secrets ».

Vous pouvez utiliser l’API REST pour récupérer une liste indiquant le statut de validation le plus récent pour chacun de vos jetons. Pour plus d'informations, consultez « Points de terminaison d’API REST pour l’analyse de secrets » dans la documentation de l'API REST. Vous pouvez également utiliser des webhooks pour être informé de l’activité liée à une alerte secret scanning. Pour plus d’informations, consultez l’événement secret_scanning_alert dans « Événements et charges utiles du webhook ».

Exécution d'une vérification de validité à la demande

Une fois que vous avez activé les vérifications de validité des modèles de partenaires pour votre référentiel, vous pouvez effectuer une vérification de validité « à la demande » pour n'importe quel secret pris en charge en cliquant sur Vérifier le secret dans la vue d'alerte. GitHub envoie le modèle au partenaire concerné et affiche l’état de validation du secret dans la vue d’alerte.

Capture d'écran de l'interface utilisateur montrant une alerte secret scanning. Un bouton intitulé « Vérifier le secret » est mis en évidence par un contour orange.

Examen des métadonnées de jeton GitHub

Remarque : Les métadonnées des jetons GitHub sont actuellement en version bêta publique et sont susceptibles d’être modifiées.

Dans la vue d’une alerte de jeton GitHub active, vous pouvez passer en revue certaines métadonnées relatives au jeton. Ces métadonnées peuvent vous aider à identifier le jeton et à déterminer les étapes de correction à prendre.

Les jetons, comme personal access token et d’autres informations d’identification, sont considérés comme des informations personnelles. Pour plus d’informations sur l’utilisation des jetons GitHub, consultez Déclaration de confidentialité et Stratégies d’utilisation acceptable de GitHub.

Capture d’écran de l’interface utilisateur d’un jeton GitHub, montrant les métadonnées de jeton.

Les métadonnées des jetons GitHub sont disponibles pour les jetons actifs dans n’importe quel dépôt où l’analyse des secrets est activée. Si un jeton a été révoqué ou si son état ne peut pas être validé, les métadonnées ne sont pas disponibles. GitHub révoque automatiquement les jetons GitHub dans les dépôts publics, il est donc peu probable que les métadonnées des jetons GitHub dans les dépôts publics soient disponibles. Les métadonnées suivantes sont disponibles pour les jetons GitHub actifs :

MétadonnéesDescription
Nom du secretNom donné au jeton GitHub par son créateur
Propriétaire du secretHandle GitHub du propriétaire du jeton
Créé leDate de création du jeton
A expiré leDate d’expiration du jeton
Dernière utilisation leDate de la dernière utilisation du jeton
AccèsSi le jeton dispose ou non d’un accès à l’organisation

Seules les personnes disposant d’autorisations d’administrateur dans le référentiel contenant un secret divulgué peuvent afficher les détails de l’alerte de sécurité et les métadonnées de jeton pour une alerte. Les propriétaires d’entreprise peuvent demander un accès temporaire au référentiel à cet effet. Si l’accès est accordé, GitHub avertit le propriétaire du référentiel contenant le secret divulgué, reportez l’action dans le propriétaire du référentiel et dans les journaux d’audit d’entreprise et activez l’accès pendant 2 heures. Pour plus d’informations, consultez « Accès aux dépôts appartenant aux utilisateurs dans votre entreprise ».

Correction des alertes

Une fois qu’un secret a été commité dans un dépôt, vous devez considérer le secret comme compromis. GitHub recommande les actions suivantes pour les secrets compromis :

  • Pour un GitHub personal access token compromis, supprimez le jeton compromis, créez un jeton et mettez à jour tous les services qui utilisent l’ancien jeton. Pour plus d’informations, consultez « Gestion de vos jetons d'accès personnels ».
  • Pour tous les autres secrets, vérifiez d’abord que le secret commité dans GitHub Enterprise Cloud est valide. Si c’est le cas, créez un secret, mettez à jour tous les services qui utilisent l’ancien secret, puis supprimez l’ancien secret.

Remarque : Si un secret est détecté dans un dépôt public sur GitHub.com et qu’il correspond également à un modèle de partenaire, une alerte est générée et le secret potentiel est signalé au fournisseur de services. Pour les détails des modèles de partenaires, consultez « Modèles d'analyse des secrets ».

Alertes de fermeture

  1. Dans GitHub.com, accédez à la page principale du dépôt.

  2. Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité. Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Sécurité » est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale gauche, sous « Alertes de vulnérabilité », cliquez sur Secret scanning .

  4. Sous « Secret scanning », cliquez sur l’alerte que vous souhaitez afficher.

  5. Pour ignorer une alerte, sélectionnez le menu déroulant « Fermer comme », puis cliquez sur un motif pour résoudre une alerte.

    Capture d’écran d’une alerte secret scanning. Un menu déroulant, intitulé « Fermer en tant que », est développé et mis en évidence par un contour orange foncé.

  6. Si vous le souhaitez, dans le champ « Commentaire », ajoutez un commentaire pour l’action Ignorer. Le commentaire de l’action Ignorer est ajouté à la chronologie des alertes et peut être utilisé comme justification lors de l’audit et de la création de rapports. Vous pouvez afficher l’historique de toutes les alertes ignorées et les commentaires de rejet dans la chronologie des alertes. Vous pouvez également récupérer ou définir un commentaire à l’aide de l’API Secret scanning. Le commentaire est contenu dans le champ resolution_comment. Pour plus d’informations, consultez « Points de terminaison d’API REST pour l’analyse de secrets » dans la documentation de l’API REST.

  7. Cliquez sur Fermer l’alerte.

Configuration des notifications pour les Alertes d’analyse de secrets

Les notifications sont différentes pour les analyses incrémentielles et les analyses historiques.

Analyses incrémentielles

Quand un nouveau secret est détecté, GitHub Enterprise Cloud avertit tous les utilisateurs ayant accès aux alertes de sécurité pour le dépôt en fonction de leurs préférences de notification. Ces utilisateurs sont les suivants :

  • Administrateurs de dépôts
  • Gestionnaires de sécurité
  • Utilisateurs avec des rôles personnalisés avec accès en lecture/écriture
  • Propriétaires d’organisation et propriétaires d’entreprise, s’ils sont administrateurs de dépôts où des secrets ont fuité

Remarque : Les auteurs de commit qui ont accidentellement commité des secrets seront notifiés, quelles que soient leurs préférences de notification.

Vous recevrez une notification par e-mail si :

  • Vous surveillez le dépôt.
  • Vous avez activé les notifications pour « Toutes les activités » ou pour les « Alertes de sécurité » personnalisées sur le dépôt.
  • Dans vos paramètres de notification, sous « Abonnements », puis sous « Surveillance », vous avez choisi de recevoir les notifications par e-mail.
  1. Dans GitHub.com, accédez à la page principale du dépôt.

  2. Pour commencer à surveiller le dépôt, sélectionnez Surveiller.

    Capture d’écran de la page principale du dépôt. Un menu déroulant intitulé « Surveiller » est mis en évidence avec un encadré orange.

  3. Dans le menu déroulant, cliquez sur Toutes les activités. Sinon, pour vous abonner uniquement aux alertes de sécurité, cliquez sur Personnalisé, puis sur Alertes de sécurité.

  4. Accédez aux paramètres de notification de votre compte personnel. Ceux-ci sont disponibles sur https://github.com/settings/notifications.

  5. Dans la page des paramètres de notification, sous « Abonnements », puis sous « Surveillance », sélectionnez la liste déroulante M’avertir.

  6. Sélectionnez « E-mail » comme option de notification, puis cliquez sur Enregistrer.

    Capture d’écran des paramètres de notification pour un compte d’utilisateur. Un en-tête d’élément, intitulé « Abonnements », et un sous-en-tête, intitulé « Surveillance », sont présentés. Une case à cocher, intitulée « E-mail », est mise en évidence avec un contour orange.

Pour plus d’informations sur la configuration des préférences de notification, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « Configuration de vos paramètres de surveillance pour un dépôt spécifique ».

Analyses historiques

Pour les analyses historiques, GitHub Enterprise Cloud notifie les utilisateurs suivants :

  • Les propriétaires d’organisation, les propriétaires d’entreprise et les responsables de la sécurité — chaque fois qu’une analyse historique est terminée, même si aucun secret n’est trouvé.
  • Les administrateurs de dépôts, les responsables de la sécurité et les utilisateurs ayant des rôles personnalisés avec accès en lecture/écriture — chaque fois qu’une analyse historique détecte un secret et en fonction de leurs préférences de notification.

Nous ne notifions pas les auteurs de commit.

Pour plus d’informations sur la configuration des préférences de notification, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « Configuration de vos paramètres de surveillance pour un dépôt spécifique ».

Audit des réponses aux alertes d’analyse des secrets

Vous pouvez auditer les actions effectuées en réponse aux alertes secret scanning à l’aide des outils GitHub. Pour plus d’informations, consultez « Audit des alertes de sécurité ».