Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus récentes, veuillez consulter la Documentation en anglais.
 

 

Gestion des alertes à partir de l’analyse des secrets

Contenu de cet article

Vous pouvez afficher et fermer les alertes pour les secrets archivés dans votre référentiel.

Who can use this feature

People with admin access to a repository can view and dismiss alerts.

Pour plus d’informations, consultez « [Produits GitHub](/articles/githubs-products)».

Gestion des alertes d’secret scanning

  1. Dans , accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité. Onglet Sécurité

  2. Dans la barre latérale gauche, cliquez sur Alertes d’analyse des secrets.

  3. Sous « Analyse des secrets », cliquez sur l’alerte que vous souhaitez afficher.

  4. Pour ignorer une alerte, sélectionnez le menu déroulant « Ignorer l’alerte », puis cliquez sur un motif pour la résolution d’une alerte.

    Capture d’écran du menu déroulant pour ignorer une alerte de l’analyse des secrets

  5. Si vous le souhaitez, ajoutez un commentaire de l’action Ignorer. Le commentaire de l’action Ignorer est ajouté à la chronologie des alertes et peut être utilisé comme justification lors de l’audit et de la création de rapports. Vous pouvez afficher l’historique de toutes les alertes ignorées et les commentaires de rejet dans la chronologie des alertes. Vous pouvez également récupérer ou définir un commentaire à l’aide de l’API Secret scanning. Le commentaire est contenu dans le champ resolution_comment. Pour plus d’informations, consultez « Secret scanning » dans la documentation de l’API REST.

    Capture d’écran montrant comment ignorer une alerte via la liste déroulante « Ignorer l’alerte », avec l’option permettant d’ajouter un commentaire pour l’action Ignorer

  6. Cliquez sur Ignorer l’alerte.

Sécurisation des secrets compromis

Une fois qu’un secret a été commité dans un dépôt, vous devez considérer le secret comme compromis. GitHub recommande les actions suivantes pour les secrets compromis :

  • Pour un GitHub personal access token compromis, supprimez le jeton compromis, créez un jeton et mettez à jour tous les services qui utilisent l’ancien jeton. Pour plus d’informations, consultez « Création d’un personal access token pour la ligne de commande ».
  • Pour tous les autres secrets, vérifiez d’abord que le secret commité dans GitHub est valide. Si c’est le cas, créez un secret, mettez à jour tous les services qui utilisent l’ancien secret, puis supprimez l’ancien secret.

Configuration des notifications pour les alertes d’secret scanning

Quand un nouveau secret est détecté, GitHub avertit tous les utilisateurs ayant accès aux alertes de sécurité pour le dépôt en fonction de leurs préférences de notification. Vous recevez des notifications par e-mail si vous consultez le dépôt, avez activé les notifications pour les alertes de sécurité ou pour toute activité sur le dépôt, ou êtes l’auteur de la validation qui contient le secret et n’ignorez pas le dépôt.

Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « Configuration des notifications ».