Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus récentes, veuillez consulter la Documentation en anglais.
 

 

À propos de l’analyse des secrets

Contenu de cet article

GitHub analyse les types de secrets connus dans les dépôts pour éviter une utilisation frauduleuse des secrets validés accidentellement.

s’exécute automatiquement sur des référentiels publics dans tous les produits sur GitHub.com. est disponible dans des référentiels privés détenus par des organisations qui utilisent GitHub Enterprise Cloud et disposent d’une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « Produits GitHub».

À propos de l’secret scanning

Si votre projet communique avec un service externe, vous pouvez utiliser un jeton ou une clé privée pour l’authentification. Les jetons et les clés privées sont des exemples de secrets qu’un fournisseur de services peut émettre. Si vous archivez un secret dans un dépôt, toute personne disposant d’un accès en lecture au dépôt peut l’utiliser pour accéder au service externe avec vos privilèges. Nous vous recommandons de stocker les secrets dans un emplacement dédié et sécurisé en dehors du dépôt de votre projet.

L’Secret scanning recherche les secrets dans l’ensemble de votre historique Git sur toutes les branches présentes dans votre dépôt GitHub.

L’Secret scanning est disponible sur GitHub.com sous deux formes :

  1. . S’exécute automatiquement sur tous les dépôts publics. Toutes les chaînes qui correspondent aux modèles fournis par les partenaires d’analyse des secrets sont signalées directement au partenaire approprié.

  2. . Des organisations utilisant GitHub Enterprise Cloud avec une licence pour GitHub Advanced Security peuvent activer et configurer une analyse supplémentaire pour des dépôts appartenant à l’organisation. Toute chaîne correspondant à des modèles fournis par des partenaires d’analyse de secrets, par d’autres fournisseurs de services, ou définis par votre organisation, est signalée comme une alerte sous l’onglet « Sécurité » des dépôts. Si une chaîne dans un dépôt public correspond à un modèle de partenaire, elle est également signalée au partenaire. Pour plus d’informations, consultez la documentation GitHub Enterprise Cloud.

Les fournisseurs de services peuvent collaborer avec GitHub afin de fournir leurs formats de secret pour l’analyse. Pour en savoir plus sur notre programme de partenariat, consultez « Programme de partenariat Secret scanning ».

À propos de l’

Quand vous rendez un dépôt public ou que vous poussez des modifications vers un dépôt public, GitHub analyse toujours le code à la recherche des secrets qui correspondent aux modèles de partenaires. Si l’secret scanning détecte un secret potentiel, nous indiquons au fournisseur de services qui a émis le secret. Le fournisseur de services valide la chaîne, puis décide de révoquer ou non le secret, d’émettre un nouveau secret ou de vous contacter directement. Son action dépend des risques associés pour vous ou lui. Pour plus d’informations, consultez « Secrets pris en charge pour les modèles de partenaires ».

Vous ne pouvez pas changer la configuration de l’secret scanning sur les dépôts publics.

Remarque : Les organisations utilisant GitHub Enterprise Cloud avec GitHub Advanced Security peuvent aussi activer l’ dans les dépôts dont elles sont propriétaires, y compris les dépôts privés. Pour plus d’informations, consultez la documentation GitHub Enterprise Cloud.

Pour aller plus loin