Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.
All products
Sécurité du code

Gestion des alertes à partir de l’analyse des secrets

In this article

Vous pouvez afficher et fermer les alertes pour les secrets archivés dans votre référentiel.

Who can use this feature

People with admin access to a public repository can view and dismiss secret scanning alerts for the repository.

Les Alertes d’analyse des secrets pour les partenaires s’exécutent automatiquement sur les dépôts publics dans tous les produits sur GitHub.com. Les Alertes d’analyse des secrets pour les utilisateurs sont disponibles dans les dépôts publics ainsi que dans les dépôts détenus par des organisations qui utilisent GitHub Enterprise Cloud et qui disposent d’une licence pour GitHub Advanced Security.

Les Pour plus d’informations, consultez « À propos des alertes d’analyse des secrets pour les utilisateurs » et « À propos de la GitHub Advanced Security ».

Remarque : la fonctionnalité alertes d’analyse des secrets pour les utilisateurs est disponible en version bêta pour les utilisateurs des plans GitHub Free, GitHub Pro ou GitHub Team et est susceptible d’être modifiée.

Gestion des Alertes d’analyse de secrets

Remarque : Les alertes sont créées uniquement pour les référentiels pour lesquels les alertes d’analyse des secrets pour les utilisateurs sont activées. Les secrets trouvés dans les référentiels publics utilisant le service gratuit d’alertes d’analyse des secrets pour les partenaires sont signalés directement au partenaire, sans qu’une alerte soit créée. Pour plus d’informations, consultez « Secrets pris en charge pour les alertes de partenaires ».

  1. Dans GitHub.com, accédez à la page principale du dépôt. 1. Sous le nom du dépôt, cliquez sur Sécurité. Onglet Sécurité

  2. Dans la barre latérale gauche, cliquez sur Alertes d’Secret scanning . Capture d’écran de l’onglet « Alertes d’Secret scanning »

  3. Sous « Secret scanning », cliquez sur l’alerte que vous souhaitez afficher. Capture d’écran de la liste des alertes de l’secret scanning

  4. Vérifiez la validité du secret et suivez les étapes de correction.

    Capture d’écran de la vérification de validité d’un jeton GitHub

    Remarque : La vérification de validité des jetons GitHub est actuellement en version bêta publique, et peut être amenée à changer.

    GitHub fournit des informations sur la validité du secret, uniquement pour les jetons GitHub.

    ValiditéRésultats
    Secret actifGitHub a confirmé que ce secret est actif
    Secret actifGitHub a vérifié auprès du fournisseur de ce secret et a constaté que le secret est actif
    Secret éventuellement actifGitHub ne prend pas encore en charge les vérifications de validation pour ce type de jeton
    Secret éventuellement actifGitHub n’a pas pu vérifier ce secret
    Le secret est indiqué comme inactifVous devez vous assurer qu’aucun accès non autorisé n’a déjà eu lieu

  5. Pour ignorer une alerte, sélectionnez le menu déroulant « Fermer comme », puis cliquez sur un motif pour résoudre une alerte.

    Capture d’écran du menu déroulant permettant d’ignorer une alerte de l’secret scanning montrant un lien vers la documentation des partenaires

  6. Si vous le souhaitez, ajoutez un commentaire de l’action Ignorer. Le commentaire de l’action Ignorer est ajouté à la chronologie des alertes et peut être utilisé comme justification lors de l’audit et de la création de rapports. Vous pouvez afficher l’historique de toutes les alertes ignorées et les commentaires de rejet dans la chronologie des alertes. Vous pouvez également récupérer ou définir un commentaire à l’aide de l’API Secret scanning. Le commentaire est contenu dans le champ resolution_comment. Pour plus d’informations, consultez « Secret scanning » dans la documentation de l’API REST.

    Capture d’écran montrant comment ignorer une alerte via la liste déroulante « Ignorer l’alerte », avec l’option permettant d’ajouter un commentaire pour l’action Ignorer

  7. Cliquez sur Fermer l’alerte.

Sécurisation des secrets compromis

Une fois qu’un secret a été commité dans un dépôt, vous devez considérer le secret comme compromis. GitHub recommande les actions suivantes pour les secrets compromis :

  • Pour un GitHub personal access token compromis, supprimez le jeton compromis, créez un jeton et mettez à jour tous les services qui utilisent l’ancien jeton. Pour plus d’informations, consultez « Création d’un personal access token pour la ligne de commande ».

  • Pour tous les autres secrets, vérifiez d’abord que le secret commité dans GitHub est valide. Si c’est le cas, créez un secret, mettez à jour tous les services qui utilisent l’ancien secret, puis supprimez l’ancien secret.

Remarque : Si un secret est détecté dans un dépôt public sur GitHub.com et qu’il correspond également à un modèle de partenaire, une alerte est générée et le secret potentiel est signalé au fournisseur de services. Pour plus d’informations sur les modèles de partenaires, consultez « Secrets pris en charge pour les alertes de partenaires ».

Configuration des notifications pour les Alertes d’analyse de secrets

Quand un nouveau secret est détecté, GitHub avertit tous les utilisateurs ayant accès aux alertes de sécurité pour le dépôt en fonction de leurs préférences de notification. Vous recevez des notifications par e-mail si vous consultez le dépôt, avez activé les notifications pour les alertes de sécurité ou pour toute activité sur le dépôt, ou êtes l’auteur de la validation qui contient le secret et n’ignorez pas le dépôt.

Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « Configuration des notifications ».