À propos des modèles d’secret scanning
GitHub gère ces jeux de modèles différents de secret scanning :
-
Modèles de partenaires. Utilisés pour détecter les secrets potentiels dans tous les dépôts publics.
- Pour plus d’informations, consultez « Secrets pris en charge pour les alertes de partenaires ».
- Pour en savoir plus sur notre programme de partenariat, consultez « Programme de partenariat d’analyse des secrets ».
-
Modèles d’alerte utilisateur. Utilisés pour détecter les secrets potentiels dans les référentiels publics avec les alertes d’analyse des secrets pour les utilisateurs activées. Pour plus d’informations, consultez « Secrets pris en charge pour les alertes utilisateur ».
Les propriétaires de référentiels publics, ainsi que les organisations utilisant GitHub Enterprise Cloud avec GitHub Advanced Security peuvent activer les alertes d’analyse des secrets pour les utilisateurs sur leurs référentiels. Pour plus d’informations sur ces modèles, consultez la section « Secrets pris en charge pour les alertes utilisateur ci-dessous.
Si vous pensez que secret scanning doit avoir détecté un secret commité dans votre dépôt, mais qu’il ne l’a pas fait, vous devez d’abord vérifier que GitHub prend en charge votre secret. Pour plus d’informations, consultez les sections ci-dessous. Pour plus d’informations sur la résolution des problèmes, consultez « Résolution des problèmes d’analyse des secrets ».
Secrets pris en charge pour les alertes de partenaires
GitHub analyse actuellement les secrets émis par les fournisseurs de services suivants dans les référentiels publics et alerte le fournisseur de services approprié chaque fois qu’un secret est détecté dans une validation. Pour plus d’informations sur les alertes d’analyse des secrets pour les partenaires, consultez « À propos de l’analyse des secrets ».
Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.
| Partenaire | Secret pris en charge |
|---|
Secrets pris en charge pour les alertes utilisateur
alertes d’analyse des secrets pour les utilisateurs : si activées, GitHub analyse les référentiels pour les secrets émis par les fournisseurs de services suivants et génère des Alertes d’analyse de secrets. Vous pouvez voir ces alertes sous l’onglet Sécurité du dépôt. Pour plus d’informations sur les alertes d’analyse des secrets pour les utilisateurs, consultez « À propos de l’analyse des secrets ».
Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.
Si vous utilisez l’API REST pour l’analyse des secrets, vous pouvez utiliser le Secret type pour signaler des secrets à partir d’émetteurs spécifiques. Pour plus d’informations, consultez « Analyse de secrets ».
| Fournisseur | Secret pris en charge | Type de secret |
|---|