GitHub fournit un rapport d’évaluation des risques liés aux secrets que les propriétaires d’organisations et les gestionnaires de sécurité peuvent générer pour évaluer l’exposition d’une organisation aux fuites de secrets. Le secret risk assessment est une analyse ponctuelle à la demande du code au sein d’une organisation qui :
- Affiche toutes les fuites de secrets au sein de l’organisation
- Affiche les types de secrets qui sont divulgués en dehors de l’organisation
- Fournit des informations exploitables pour la correction Pour plus d’informations sur le rapport, consultez À propos de l’évaluation des risques liés aux secrets.
Vous pouvez générer le rapport secret risk assessment pour votre organisation, le passer en revue et exporter les résultats au format CSV.
Génération d’un secret risk assessment initial
-
Sur GitHub, accédez à la page principale de l’organisation.
-
Sous le nom de votre organisation, cliquez sur Sécurité.
-
Dans la barre latérale, sous « Sécurité », cliquez sur Évaluations. 1. Pour générer le secret risk assessment, cliquez sur Analyser votre organisation.
Si vous êtes propriétaire d’une organisation et que vous avez choisi de recevoir des notifications par e-mail, GitHub vous enverra un e-mail pour vous informer lorsque le rapport sera prêt à être consulté.
Réexécution de secret risk assessment
Conseil
Vous ne pouvez générer le rapport qu’une fois tous les 90 jours. Nous vous recommandons d’implémenter GitHub Secret Protection pour la surveillance et la prévention continues des secrets. Consultez Choisir GitHub Secret Protection.
-
Sur GitHub, accédez à la page principale de l’organisation.
-
Sous le nom de votre organisation, cliquez sur Sécurité.
-
Dans la barre latérale, sous « Sécurité », cliquez sur Évaluations.
-
En haut à droite du rapport existant, cliquez sur .
-
Sélectionnez Réexécuter l’analyse.
Si vous êtes propriétaire d’une organisation et que vous avez choisi de recevoir des notifications par e-mail, GitHub vous enverra un e-mail pour vous informer lorsque le rapport sera prêt à être consulté.
Affichage de secret risk assessment
-
Sur GitHub, accédez à la page principale de l’organisation.
-
Sous le nom de votre organisation, cliquez sur Sécurité.
-
Dans la barre latérale, sous « Sécurité », cliquez sur Évaluations. Vous pouvez consulter le rapport le plus récent sur cette page.
Exportation de secret risk assessment au format CSV
-
Sur GitHub, accédez à la page principale de l’organisation.
-
Sous le nom de votre organisation, cliquez sur Sécurité.
-
Dans la barre latérale, sous « Sécurité », cliquez sur Évaluations.
-
En haut à droite du rapport, cliquez sur .
-
Sélectionnez Télécharger le fichier CSV.
Le fichier CSV secret risk assessment contient les informations suivantes.
| Colonne CSV | Nom | Description |
|---|---|---|
| A | Organization Name | Le nom de l’organisation dans laquelle le secret a été détecté |
| G | Name | Le nom du jeton pour le type de secret |
| C | Slug | La chaîne normalisée pour le jeton. Cela correspond à Token dans la table des secrets pris en charge. Consultez Modèles d’analyse de secrets pris en charge. |
| D | Push Protected | Un boolean pour indiquer si le secret serait détecté et bloqué par la protection d’envoi (push) s’il était activé |
| E | Non-Provider Pattern | Un boolean pour indiquer si le secret correspondait à un modèle non-fournisseur et générerait une alerte si secret scanning avec des modèles non-fournisseurs étaient activés |
| F | Secret Count | Un compte agrégé des secrets actifs et inactifs trouvés pour le type de jeton |
| G | Repository Count | Un compte agrégé des référentiels distincts dans lesquels le type secret a été trouvé, y compris les référentiels publics, privés, internes et archivés |
Étapes suivantes
Maintenant que vous avez généré secret risk assessment pour votre organisation, découvrez comment interpréter les résultats. Consultez Interprétation des résultats de l’évaluation des risques liés aux secrets.