Activation des vérifications de validité pour votre référentiel

L’activation des vérifications de validité sur votre référentiel vous permet de hiérarchiser la correction des alertes, car elle vous indique si un secret est actif ou inactif.

Qui peut utiliser cette fonctionnalité ?

Les vérifications de validité des modèles partenaires sont disponibles sur tous les types de référentiels sur GitHub. Pour utiliser cette caractéristique, vous devez disposer d’une licence pour GitHub Advanced Security.

Dans cet article

À propos des vérifications de validité

Vous pouvez activer les vérifications de validité des secrets identifiés en tant que jetons de fournisseur de services pour votre référentiel. Une fois activé, GitHub vérifiera périodiquement la validité d’une information d’identification détectée, en envoyant le secret directement au fournisseur, dans le cadre du programme de partenariat de GitHub pour l’analyse des secrets. Pour en savoir plus sur notre programme de partenariat, consultez « Programme de partenariat d’analyse des secrets ».

GitHub affiche l’état de validation du secret dans la vue des alertes, afin que vous puissiez voir si le secret est active, inactive ou si l’état de validation est unknown. Vous pouvez éventuellement effectuer une vérification de validité « à la demande » pour le secret dans la vue des alertes.

Vous pouvez également choisir d'activer les vérifications de validité pour les modèles partenaires. Une fois activé, GitHub vérifiera périodiquement la validité d'une information d'identification détectée, en envoyant le secret directement au fournisseur, dans le cadre du programme officiel de partenariat de GitHub pour l'analyse des secrets. GitHub effectue généralement des requêtes GET pour vérifie la validité des informations d'identification, sélectionne les points de terminaison les moins intrusifs et sélectionne les points de terminaison qui ne retournent aucune information personnelle.

GitHub affiche l'état de validation du secret dans la vue d'alerte.

Vous pouvez filtrer par état de validation sur la page des alertes pour vous aider à hiérarchiser les alertes sur lesquelles vous devez effectuer des actions.

Note

GitHub effectue généralement des requêtes GET pour vérifie la validité des informations d'identification, sélectionne les points de terminaison les moins intrusifs et sélectionne les points de terminaison qui ne retournent aucune information personnelle.

Pour plus d’informations sur l’utilisation des vérifications de validité, consultez « Évaluation des alertes à partir de l’analyse des secrets ».

Activation des vérifications de validité

  1. Dans GitHub.com, accédez à la page principale du dépôt.

  2. Sous le nom de votre dépôt, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Sécurité et analyse du code.

  4. Sous Secret scanning, cochez la case en regard de « Vérifier automatiquement si un secret est valide en l’envoyant au partenaire approprié ».

Vous pouvez également utiliser l’API REST pour activer la vérification de validité pour les modèles partenaires de votre référentiel. Pour plus d’informations, consultez « Points de terminaison d’API REST pour les référentiels ».

Les propriétaires d’organisations et les administrateurs d’entreprise peuvent également activer la fonctionnalité pour tous les référentiels dans les paramètres de l'organisation ou de l'entreprise. Pour plus d'informations sur l'activation au niveau de l'organisation, voir « Création d’une configuration de sécurité personnalisée ». Pour plus d'informations sur l'activation au niveau de l'entreprise, voir « Gestion des fonctionnalités GitHub Advanced Security pour votre entreprise » et « Points de terminaison d’API REST pour la sécurité et l’analyse du code d’entreprise ».

Pour aller plus loin