About secret scanning alerts

Learn about the different types of Alertes d’analyse de secrets.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Secret scanning est disponible pour les types de référentiels suivants :

  • Des référentiels publics sur GitHub.com
  • Référentiels appartenant à l'organisation sur GitHub Team ou GitHub Enterprise Cloud avec GitHub Secret Protection activé
  • Référentiels appartenant à l’utilisateur pour GitHub Enterprise Cloud avec Enterprise Managed Users

Dans cet article

About types of alerts

Il existe deux types d’ :

  • Alertes d’analyse de secrets  : signalées aux utilisateurs dans l’onglet Sécurité du référentiel, lorsqu’un secret pris en charge est détecté dans le référentiel.
  • Alertes de protection push : signalées aux utilisateurs sous l’onglet Sécurité du référentiel, lorsqu’un contributeur contourne la protection push.
  • Alertes de partenaire : signalées directement aux fournisseurs de secrets qui font partie du programme partenaire de secret scanning. Ces alertes ne sont pas signalées sous l’onglet Sécurité du référentiel.

About user alerts

When GitHub detects a supported secret in a repository that has secret scanning enabled, a user alert is generated and displayed in the Security tab of the repository.

User alerts can be of the following types:

  • Default alerts, which relate to supported patterns and specified custom patterns.
  • Generic alerts, which can have a higher ratio of false positives or secrets used in tests.

GitHub displays generic alerts in a different list to default alerts, making triaging a better experience for users. For more information, see Affichage et filtrage des alertes à partir de l’analyse des secrets.

Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.

About push protection alerts

Push protection scans pushes for supported secrets. If push protection detects a supported secret, it will block the push. When a contributor bypasses push protection to push a secret to the repository, a push protection alert is generated and displayed in the Security tab of the repository. To see all push protection alerts for a repository, you must filter by bypassed: true on the alerts page. For more information, see Affichage et filtrage des alertes à partir de l’analyse des secrets.

Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.

Remarque

You can also enable push protection for your personal account, called "push protection for users", which prevents you from accidentally pushing supported secrets to any public repository. Alerts are not created if you choose to bypass your user-based push protection only. Alerts are only created if the repository itself has push protection enabled. For more information, see Protection par émission de données pour les utilisateurs.

Les versions antérieures de certains jetons peuvent ne pas être prises en charge par la protection des poussées, car ces jetons peuvent générer un nombre plus élevé de faux positifs que leur version la plus récente. La protection des poussées peut également ne pas s’appliquer aux jetons hérités. Pour les jetons tels que les clés de stockage Azure, GitHub prend uniquement en charge les jetons récemment créés, pas les jetons qui correspondent aux modèles hérités. For more information about push protection limitations, see Résolution des problèmes d’analyse des secrets.

About partner alerts

When GitHub detects a leaked secret in a public repository or npm package, an alert is sent directly to the secret provider, if they are part of GitHub's secret scanning partner program. For more information about alertes d’analyse des secrets pour les partenaires, see Programme de partenariat d’analyse des secrets and Modèles de détection de secrets pris en charge.

Partner alerts are not sent to repository administrators, so you do not need to take any action for this type of alert.

Next steps

Further reading