À propos des alertes d’analyse des secrets

Découvrez les différents types d’Alertes d’analyse de secrets.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Secret scanning est disponible pour les types de référentiels suivants :

  • Des référentiels publics sur GitHub.com
  • Référentiels appartenant à l’organisation sur GitHub Team avec GitHub Secret Protection activé

Dans cet article

À propos des types d’alertes

Il existe trois types d’ :

  • ** Alertes utilisateur**  : signalées aux utilisateurs dans l’onglet Sécurité du référentiel, lorsqu’un secret pris en charge est détecté dans le référentiel.
  • Alertes de protection push : signalées aux utilisateurs sous l’onglet Sécurité du référentiel, lorsqu’un contributeur contourne la protection push.
  • Alertes de partenaire : signalées directement aux fournisseurs de secrets qui font partie du programme partenaire de secret scanning. Ces alertes ne sont pas signalées sous l’onglet Sécurité du référentiel.

À propos des alertes utilisateur

Lorsque GitHub détecte un secret pris en charge dans un référentiel pour lequel l’secret scanning est activé, une alerte utilisateur est générée et affichée dans l’onglet Sécurité du dépôt.

Les alertes utilisateur peuvent être des types suivants :

  • Alertes par défaut, qui concernent les modèles pris en charge et les modèles personnalisés spécifiés.
  • Alertes génériques, qui peuvent présenter un taux plus élevé de faux positifs ou correspondre à des secrets utilisés dans des tests.

GitHub affiche les alertes génériques dans une liste distincte des alertes par défaut, afin de faciliter le tri pour les utilisateurs. Pour plus d’informations, consultez « Affichage et filtrage des alertes à partir de l’analyse des secrets ».

Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.

À propos des alertes de protection des poussées

La protection des pushes analyse les pushes à la recherche de secrets pris en charge. Si la protection des pushes détecte un secret pris en charge, le push est bloqué. Lorsqu’un contributeur contourne la protection des pushes pour envoyer un secret vers le dépôt, une alerte de protection des pushes est générée et affichée dans l’onglet Sécurité du dépôt. Pour afficher toutes les alertes de protection des pushes d’un dépôt, vous devez filtrer par bypassed: true sur la page des alertes. Pour plus d’informations, consultez « Affichage et filtrage des alertes à partir de l’analyse des secrets ».

Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.

Remarque

Vous pouvez également activer la protection des pushes pour votre compte personnel, appelée « protection des pushes pour les utilisateurs », qui vous empêche d’envoyer accidentellement des secrets pris en charge vers n’importe quel référentiel public. Aucune alerte n’est créée si vous choisissez uniquement de contourner la protection des pushes au niveau de votre compte utilisateur. Des alertes ne sont créées que si la protection des pushes est activée au niveau du référentiel lui-même. Pour plus d’informations, consultez Protection par émission de données pour les utilisateurs.

Les versions antérieures de certains jetons peuvent ne pas être prises en charge par la protection des poussées, car ces jetons peuvent générer un nombre plus élevé de faux positifs que leur version la plus récente. La protection des poussées peut également ne pas s’appliquer aux jetons hérités. Pour les jetons tels que les clés de stockage Azure, GitHub prend uniquement en charge les jetons récemment créés, pas les jetons qui correspondent aux modèles hérités. Pour plus d’informations sur les limitations de la protection des poussées, consultez Résolution des problèmes d’analyse des secrets.

À propos des alertes de partenaire

Lorsque GitHub détecte un secret divulgué dans un référentiel public ou un package npm, une alerte est envoyée directement au fournisseur du secret, s’il fait partie du programme de partenaires de secret scanning de GitHub. Pour plus d’informations sur les alertes d’analyse des secrets pour les partenaires, consultez Programme de partenariat d’analyse des secrets et Modèles de détection de secrets pris en charge.

Les alertes partenaires ne sont pas envoyées aux administrateurs du dépôt ; aucune action n’est donc requise pour ce type d’alerte.

Étapes suivantes

  •         [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/viewing-alerts)

Lectures complémentaires

  •         [AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns)

  •         [AUTOTITLE](/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/custom-patterns/defining-custom-patterns-for-secret-scanning)

  •           [AUTOTITLE](/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/non-provider-patterns/enabling-secret-scanning-for-non-provider-patterns)

  •         [AUTOTITLE](/code-security/secret-scanning/copilot-secret-scanning/responsible-ai-generic-secrets)