À propos des modèles d’secret scanning
GitHub gère ces jeux de modèles différents de secret scanning :
-
Modèles de partenaires. Utilisés pour détecter les secrets potentiels dans tous les dépôts publics. Pour plus d’informations, consultez « Secrets pris en charge pour les alertes de partenaires ».
-
Modèles d’alerte utilisateur. Utilisés pour détecter les secrets potentiels dans les référentiels publics avec les alertes d’analyse des secrets pour les utilisateurs activées. Pour plus d’informations, consultez « Secrets pris en charge pour les alertes utilisateur ».
Les propriétaires de référentiels publics, ainsi que les organisations utilisant GitHub Enterprise Cloud avec GitHub Advanced Security peuvent activer les alertes d’analyse des secrets pour les utilisateurs sur leurs référentiels. Pour plus d’informations sur ces modèles, consultez la section « Secrets pris en charge pour les alertes utilisateur ci-dessous.
Si vous pensez que secret scanning doit avoir détecté un secret commité dans votre dépôt, mais qu’il ne l’a pas fait, vous devez d’abord vérifier que GitHub prend en charge votre secret. Pour plus d’informations, consultez les sections ci-dessous. Pour obtenir des informations de dépannage plus avancées, consultez « Résolution des problèmes d’secret scanning ».
Secrets pris en charge pour les alertes de partenaires
GitHub analyse actuellement les secrets émis par les fournisseurs de services suivants dans les référentiels publics et alerte le fournisseur de services approprié chaque fois qu’un secret est détecté dans une validation. Pour plus d’informations sur les alertes d’analyse des secrets pour les partenaires, consultez « À propos des alertes d’analyse des secrets pour les partenaires ».
Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.
| Partenaire | Secret pris en charge |
|---|---|
| E/S Adafruit | Clé d’E/S Adafruit |
| Adobe | Jeton d’appareil Adobe |
| Adobe | Jeton de service Adobe |
| Adobe | Jeton d’accès courte durée Adobe |
| Adobe | Jeton web JSON Adobe |
| Alibaba Cloud | ID de clé d’accès et paire de clé d’accès-secret Alibaba Cloud |
| Amazon Web Services (AWS) | ID de clé d’accès et paire de clé d’accès-secret Amazon AWS |
| Atlassian | Jeton d’API Atlassian |
| Atlassian | Jeton web JSON Atlassian |
| Azure | Secret d’application Azure Active Directory |
| Azure | Clé Azure Batch identifiable |
| Azure | Clé Azure CosmosDB identifiable |
| Azure | Personal Access Token Azure DevOps |
| Azure | Clé du service web Azure ML Studio (classique) |
| Azure | Jeton SAP Azure |
| Azure | Clé d’administration de Recherche Azure |
| Azure | Clé de requête de Recherche Azure |
| Azure | Certificat Azure Service Management |
| Azure | Chaîne de connexion Azure SQL |
| Azure | Clé du compte de Stockage Azure |
| Checkout.com | Clé secrète de production Checkout.com |
| Checkout.com | Clé secrète de test Checkout.com |
| Chief Tools | Jeton Chief Tools |
| Clojars | Jeton de déploiement Clojars |
| CloudBees CodeShip | Informations d’identification CloudBees CodeShip |
| Contributed Systems | Informations d’identification Contributed Systems |
| Crates.io | Jeton d’API Crates.io |
| Databricks | Jeton d’accès Databricks |
| Datadog | Clé API Datadog |
| DevCycle | Clé API client DevCycle |
| DevCycle | Clé API serveur DevCycle |
| DigitalOcean | Personal Access Token DigitalOcean |
| DigitalOcean | Jeton OAuth DigitalOcean |
| DigitalOcean | Jeton d’actualisation DigitalOcean |
| DigitalOcean | Jeton système DigitalOcean |
| Discord | Jeton de bot Discord |
| Doppler | Jeton personnel Doppler |
| Doppler | Jeton de service Doppler |
| Doppler | Jeton CLI Doppler |
| Doppler | Jeton SCIM Doppler |
| Doppler | Jeton d’audit Doppler |
| Dropbox | Jeton d’accès Dropbox |
| Dropbox | Jeton d’accès courte durée Dropbox |
| Dynatrace | Jeton d’accès Dynatrace |
| Dynatrace | Jeton interne Dynatrace |
| Figma | Figma Personal Access Token |
| Finicity | Clé d’application Finicity |
| Frame.io | Jeton web JSON Frame.io |
| Frame.io | Jeton de développeur Frame.io |
| Fullstory | Clé API FullStory |
| GitHub | Personal Access Token GitHub |
| GitHub | Jeton d’accès OAuth GitHub |
| GitHub | Jeton d’actualisation GitHub |
| GitHub | Jeton d’accès d’installation d’application GitHub |
| GitHub | Clé privée SSH GitHub |
| GoCardless | Jeton d’accès dynamique GoCardless |
| GoCardless | Jeton d’accès de bac à sable GoCardless |
| Google Cloud | Clé API Google |
| Google Cloud | ID de clé privée Google Cloud |
| HashiCorp Terraform | Jeton d’API Cloud / Entreprise Terraform |
| Hubspot | Clé API Hubspot |
| Hubspot | Clé d’accès personnel API Hubspot |
| Ionic | Personal Access Token Ionic |
| Ionic | Jeton d’actualisation Ionic |
| JD Cloud | Clé d’accès JD Cloud |
| Linéaire | Clé API Linear |
| Linéaire | Jeton d’accès OAuth Linear |
| LocalStack | Clé API LocalStack |
| MailChimp | Clé API Mailchimp |
| MailChimp | Clé API Mandrill |
| Mailgun | Clé API Mailgun |
| MessageBird | Clé API MessageBird |
| Meta | Jeton d’accès Facebook |
| npm | Jeton d’accès npm |
| NuGet | Clé API NuGet |
| Octopus Deploy | Clé API Octopus Deploy |
| OpenAI | Clé API OpenAI |
| Palantir | Jeton web JSON Palantir |
| PlanetScale | Mot de passe de base de données PlanetScale |
| PlanetScale | Jeton OAuth PlanetScale |
| PlanetScale | Jeton de service PlanetScale |
| Plivo | ID et jeton d’authentification Plivo |
| postman | Clé API Postman |
| Prefect | Clé API du serveur Prefect |
| Prefect | Jeton d’API utilisateur Prefect |
| Proctorio | Clé de consommateur Proctorio |
| Proctorio | Clé de liaison Proctorio |
| Proctorio | Clé d’inscription proctorio |
| Proctorio | Clé secrète Proctorio |
| Pulumi | Jeton d’accès Pulumi |
| PyPI | Jeton d’API PyPI |
| ReadMe | Clé d’accès de l’API ReadMe |
| redirect.pizza | redirect.pizza API Token |
| RubyGems | Clé API RubyGems |
| Samsara | Jeton d’API Samsara |
| Samsara | Jeton d’accès OAuth Samsara |
| Segment | Segmenter le jeton d’API publique |
| SendGrid | Clé API SendGrid |
| Sendinblue | Clé API Sendinblue |
| Sendinblue | Clé SMTP Sendinblue |
| Shopify | Secret partagé d’application Shopify |
| Shopify | Jeton d’accès Shopify |
| Shopify | Jeton d’accès d’application personnalisée Shopify |
| Shopify | Mot de passe d’application privée Shopify |
| Slack | Jeton d’API Slack |
| Slack | URL du webhook entrant Slack |
| Slack | URL du webhook de workflow Slack |
| SSLMate | Clé API SSLMate |
| SSLMate | Secret de cluster SSLMate |
| Stripe | Clé secrète d’API dynamique Stripe |
| Stripe | Clé secrète d’API de test Stripe |
| Stripe | Clé restreinte d’API dynamique Stripe |
| Stripe | Clé restreinte d’API de test Stripe |
| Supabase | Clé de service Supabase |
| Telnyx | Clé API Telnyx V2 |
| Tencent Cloud | ID de secret Tencent Cloud |
| Tencent WeChat | ID d’application de l’API Tencent WeChat |
| Twilio | Identificateur de chaîne de compte Twilio |
| Twilio | Clé API Twilio |
| Typeform | Personal Access Token Typeform |
| Uniwise | Clé API WISEflow |
| Valour | Jeton d’accès Valour |
| WakaTime | Secret d’application WakaTime |
| WakaTime | Jeton d’accès OAuth WakaTime |
| WakaTime | Jeton d’actualisation OAuth WakaTime |
| Yandex | Clé API Yandex.Cloud |
| Yandex | Cookie IAM Yandex.Cloud |
| Yandex | Jeton Yandex.Cloud |
| Yandex | Clé API Yandex.Dictionary |
| Yandex | Secret d’accès Yandex.Cloud |
| Yandex | Jeton OAuth Yandex.Passport |
| Zuplo | API consommateur Zuplo |
Secrets pris en charge pour les alertes utilisateur
Remarque : la fonctionnalité alertes d’analyse des secrets pour les utilisateurs est disponible en version bêta pour les utilisateurs des plans GitHub Free, GitHub Pro ou GitHub Team et est susceptible d’être modifiée.
alertes d’analyse des secrets pour les utilisateurs : si activées, GitHub analyse les référentiels pour les secrets émis par les fournisseurs de services suivants et génère des Alertes d’analyse de secrets. Vous pouvez voir ces alertes sous l’onglet Sécurité du dépôt. Pour plus d’informations sur les alertes d’analyse des secrets pour les utilisateurs, consultez « À propos des alertes d’analyse des secrets pour les utilisateurs ».
Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.
Si vous utilisez l’API REST pour l’analyse des secrets, vous pouvez utiliser le Secret type pour signaler des secrets à partir d’émetteurs spécifiques. Pour plus d’informations, consultez « Analyse des secrets ».
| Fournisseur | Secret pris en charge | Type de secret |
|---|---|---|
| E/S Adafruit | Clé d’E/S Adafruit | adafruit_io_key |
| Adobe | Jeton d’appareil Adobe | adobe_device_token |
| Adobe | Jeton de service Adobe | adobe_service_token |
| Adobe | Jeton d’accès courte durée Adobe | adobe_short_lived_access_token |
| Adobe | Jeton web JSON Adobe | adobe_jwt |
| Alibaba Cloud | ID de clé d’accès Alibaba Cloud avec secret de clé d’accès Alibaba Cloud | alibaba_cloud_access_key_id alibaba_cloud_access_key_secret Amazon |