Remarque : la fonctionnalité secret scanning alerts for users est disponible en version bêta pour les utilisateurs des plans GitHub Free, GitHub Pro ou GitHub Team et est susceptible d’être modifiée.
Gestion des secret scanning alerts
Remarque : Les alertes sont créées uniquement pour les référentiels pour lesquels les secret scanning alerts for users sont activées. Les secrets trouvés dans les référentiels publics utilisant le service gratuit d’secret scanning alerts for partners sont signalés directement au partenaire, sans qu’une alerte soit créée. Pour plus d’informations, consultez « Secrets pris en charge pour les alertes de partenaires ».
-
Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité.
-
Dans la barre latérale gauche, cliquez sur Alertes d’Secret scanning .
-
Sous « Secret scanning », cliquez sur l’alerte que vous souhaitez afficher.
-
Vérifiez la validité du secret et suivez les étapes de correction.
Remarque : La vérification de validité des jetons GitHub est actuellement en version bêta publique, et peut être amenée à changer.
GitHub fournit des informations sur la validité du secret, uniquement pour les jetons GitHub.
Validité Résultats Secret actif GitHub a confirmé que ce secret est actif Secret actif GitHub a vérifié auprès du fournisseur de ce secret et a constaté que le secret est actif Secret éventuellement actif GitHub ne prend pas encore en charge les vérifications de validation pour ce type de jeton Secret éventuellement actif GitHub n’a pas pu vérifier ce secret Le secret est indiqué comme inactif Vous devez vous assurer qu’aucun accès non autorisé n’a déjà eu lieu -
Pour ignorer une alerte, sélectionnez le menu déroulant « Fermer comme », puis cliquez sur un motif pour résoudre une alerte.
-
Si vous le souhaitez, ajoutez un commentaire de l’action Ignorer. Le commentaire de l’action Ignorer est ajouté à la chronologie des alertes et peut être utilisé comme justification lors de l’audit et de la création de rapports. Vous pouvez afficher l’historique de toutes les alertes ignorées et les commentaires de rejet dans la chronologie des alertes. Vous pouvez également récupérer ou définir un commentaire à l’aide de l’API Secret scanning. Le commentaire est contenu dans le champ
resolution_comment. Pour plus d’informations, consultez « Secret scanning » dans la documentation de l’API REST.
-
Cliquez sur Fermer l’alerte.
Sécurisation des secrets compromis
Une fois qu’un secret a été commité dans un dépôt, vous devez considérer le secret comme compromis. GitHub recommande les actions suivantes pour les secrets compromis :
-
Pour un GitHub personal access token compromis, supprimez le jeton compromis, créez un jeton et mettez à jour tous les services qui utilisent l’ancien jeton. Pour plus d’informations, consultez « Création d’un personal access token pour la ligne de commande ».
-
Pour tous les autres secrets, vérifiez d’abord que le secret commité dans GitHub est valide. Si c’est le cas, créez un secret, mettez à jour tous les services qui utilisent l’ancien secret, puis supprimez l’ancien secret.
Remarque : Si un secret est détecté dans un dépôt public sur GitHub.com et qu’il correspond également à un modèle de partenaire, une alerte est générée et le secret potentiel est signalé au fournisseur de services. Pour plus d’informations sur les modèles de partenaires, consultez « Secrets pris en charge pour les alertes de partenaires ».
Configuration des notifications pour les secret scanning alerts
Quand un nouveau secret est détecté, GitHub avertit tous les utilisateurs ayant accès aux alertes de sécurité pour le dépôt en fonction de leurs préférences de notification. Vous recevez des notifications par e-mail si vous consultez le dépôt, avez activé les notifications pour les alertes de sécurité ou pour toute activité sur le dépôt, ou êtes l’auteur de la validation qui contient le secret et n’ignorez pas le dépôt.
Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « Configuration des notifications ».