À propos de l’secret scanning
Si votre projet communique avec un service externe, vous pouvez utiliser un jeton ou une clé privée pour l’authentification. Les jetons et les clés privées sont des exemples de secrets qu’un fournisseur de services peut émettre. Si vous archivez un secret dans un dépôt, toute personne disposant d’un accès en lecture au dépôt peut l’utiliser pour accéder au service externe avec vos privilèges. Nous vous recommandons de stocker les secrets dans un emplacement dédié et sécurisé en dehors du dépôt de votre projet.
L’Secret scanning recherche les secrets dans l’ensemble de votre historique Git sur toutes les branches présentes dans votre dépôt GitHub.
L’Secret scanning est disponible sur GitHub.com sous deux formes :
-
Secret scanning alerts for partners. S’exécute automatiquement sur tous les dépôts publics. Toutes les chaînes qui correspondent aux modèles fournis par les partenaires d’analyse des secrets sont signalées directement au partenaire approprié. Pour plus d’informations, consultez la section « À propos des secret scanning alerts for partners » ci-dessous.
-
Secret scanning alerts for users. Les utilisateurs suivants peuvent activer et configurer une analyse supplémentaire :
- Propriétaires de référentiels sur GitHub.com, sur tous les référentiels publics qu’ils possèdent.
- Organisations propriétaires de référentiels publics, sur n’importe lequel de ces référentiels.
- Organisations utilisant GitHub Enterprise Cloud avec une licence pour GitHub Advanced Security, sur les référentiels appartenant à l’organisation, y compris les référentiels privés et internes.
Remarque : la fonctionnalité secret scanning alerts for users est disponible en version bêta pour les utilisateurs des plans GitHub Free, GitHub Pro ou GitHub Team et est susceptible d’être modifiée.
Toutes les chaînes qui correspondent aux modèles fournis par les partenaires d’analyse des secrets, par d’autres fournisseurs de services ou définis par vous ou votre organisation sont signalées comme alertes sous l’onglet Sécurité des dépôts. Si une chaîne dans un dépôt public correspond à un modèle de partenaire, elle est également signalée au partenaire. Pour plus d’informations, consultez la section « À propos des secret scanning alerts for users » ci-dessous.
Les fournisseurs de services peuvent collaborer avec GitHub afin de fournir leurs formats de secret pour l’analyse. Pour en savoir plus sur notre programme de partenariat, consultez « Programme de partenariat Secret scanning ».
À propos des secret scanning alerts for partners
Quand vous rendez un dépôt public ou que vous poussez des modifications vers un dépôt public, GitHub analyse toujours le code à la recherche des secrets qui correspondent aux modèles de partenaires. Si l’secret scanning détecte un secret potentiel, nous indiquons au fournisseur de services qui a émis le secret. Le fournisseur de services valide la chaîne, puis décide de révoquer ou non le secret, d’émettre un nouveau secret ou de vous contacter directement. Son action dépend des risques associés pour vous ou lui. Pour plus d’informations, consultez « Secrets pris en charge pour les alertes de partenaires ».
Vous ne pouvez pas changer la configuration de l’secret scanning pour les modèles de partenaires sur les référentiels publics.
À propos des secret scanning alerts for users
Secret scanning alerts for users disponibles pour tous les référentiels publics. Lorsque vous activez secret scanning pour un référentiel, GitHub analyse le code à la recherche de modèles qui correspondent aux secrets utilisés par de nombreux fournisseurs de services. Lorsqu’un secret pris en charge est divulgué, GitHub génère une alerte secret scanning. Pour plus d’informations, consultez « Secrets pris en charge pour les alertes utilisateur ».
Si vous êtes administrateur de référentiel, vous pouvez activer les secret scanning alerts for users pour n’importe quel référentiel public. Les propriétaires d’organisation peuvent également activer les secret scanning alerts for users pour tous les référentiels ou pour tous les nouveaux référentiels au sein d’une organisation. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et« Gestion des paramètres de sécurité et d’analyse pour votre organisation ».
GitHub stocke les secrets détectés en utilisant le chiffrement symétrique, à la fois en transit et au repos.
Accès aux secret scanning alerts
Quand vous activez l’secret scanning pour un dépôt ou que vous poussez des commits sur un dépôt où l’secret scanning est activée, GitHub recherche dans le contenu de ces commits des secrets qui correspondent aux modèles définis par les fournisseurs de services.
Si l’secret scanning détecte un secret, GitHub génère une alerte.
- GitHub envoie une alerte par e-mail aux administrateurs du dépôt et aux propriétaires de l’organisation. Vous recevez une alerte si vous consultez le dépôt, et si vous avez activé les notifications pour les alertes de sécurité ou pour toutes les activités sur le dépôt.
- Si le contributeur qui a commité le secret n’ignore pas le dépôt, GitHub envoie également une alerte par e-mail au contributeur. Les e-mails contiennent un lien vers l’alerte d’secret scanning associée. L’auteur du commit peut ensuite afficher l’alerte dans le dépôt et résoudre l’alerte.
- GitHub affiche une alerte sous l’onglet Sécurité du dépôt.
Pour plus d’informations sur l’affichage et la résolution des secret scanning alerts, consultez « Gestion des alertes d’secret scanning ».
Les administrateurs de référentiel et les propriétaires d’organisation peuvent accorder aux utilisateurs et aux équipes l’accès aux secret scanning alerts. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».
Vous pouvez également utiliser l’API REST pour monitorer les résultats de l’secret scanning sur vos référentiels. Pour plus d’informations sur les points de terminaison d’API, consultez « Secret scanning ».