Résolution des problèmes d’analyse des secrets

Dans cet article

Si vous rencontrez des problèmes avec l’secret scanning, vous pouvez utiliser ces conseils pour vous aider à résoudre les problèmes.

Alertes d’analyse des secrets pour les partenaires s’exécute automatiquement sur les dépôts publics pour informer les fournisseurs de services des fuites de secrets sur GitHub.com.

Les Alertes d’analyse des secrets pour les utilisateurs sont disponibles gratuitement sur tous les dépôts publics. Les organisations qui utilisent GitHub Enterprise Cloud avec une licence pour GitHub Advanced Security peuvent également activer alertes d’analyse des secrets pour les utilisateurs sur leurs dépôts privés et internes. Pour plus d’informations, consultez « À propos de l’analyse des secrets » et « À propos de GitHub Advanced Security ».

Détection de paires de modèles

L’Secret scanning détecte uniquement les paires de modèles, telles que les clés d’accès et les secrets AWS, si l’ID et le secret se trouvent dans le même fichier et que les deux sont poussés vers le dépôt. La création de paires permet de réduire les faux positifs, car les deux éléments d’une paire (l’ID et le secret) doivent être utilisés ensemble pour accéder à la ressource du fournisseur.

Les paires poussées vers des fichiers différents, ou pas poussées vers le même dépôt, n’aboutissent pas à des alertes. Pour plus d’informations sur les paires de modèles prises en charge, consultez les tableaux dans « Modèles d’analyse des secrets ».

À propos des jetons GitHub hérités

Pour les jetons GitHub, nous vérifions la validité du secret pour déterminer si le secret est actif ou inactif. Cela signifie que pour les jetons hérités, l’secret scanning ne détecte pas de personal access token GitHub Enterprise Server sur GitHub Enterprise Cloud. De même, un personal access token GitHub Enterprise Cloud sera introuvable sur GitHub Enterprise Server.