Remarque : votre administrateur de site doit activersecret scanning pour votre instance GitHub Enterprise Server afin que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Configuration de l’analyse de secrets pour votre appliance ».
Vous ne pourrez peut-être pas activer ni désactiver les secret scanning si un propriétaire d'entreprise a défini une stratégie au niveau de l'entreprise. Pour plus d’informations, consultez « Application de stratégies de sécurité et d’analyse du code pour votre entreprise ».
À propos de l’secret scanning
Si votre projet communique avec un service externe, vous pouvez utiliser un jeton ou une clé privée pour l’authentification. Les jetons et les clés privées sont des exemples de secrets qu’un fournisseur de services peut émettre. Si vous archivez un secret dans un dépôt, toute personne disposant d’un accès en lecture au dépôt peut l’utiliser pour accéder au service externe avec vos privilèges. Nous vous recommandons de stocker les secrets dans un emplacement dédié et sécurisé en dehors du dépôt de votre projet.
Secret scanning recherche les secrets dans l’ensemble de votre historique Git sur toutes les branches présentes dans votre dépôt GitHub, même si le dépôt est archivé. Secret scanning n’analyse pas les problèmes.
Vous pouvez auditer les actions effectuées en réponse aux alertes secret scanning à l’aide des outils GitHub. Pour plus d’informations, consultez « Audit des alertes de sécurité ».
Vous pouvez également activer l’secret scanning en tant que protection des poussées (push) pour un dépôt ou une organisation. Quand vous activez cette fonctionnalité, l’secret scanning empêche les contributeurs de pousser du code comportant un secret détecté. Pour continuer, les contributeurs doivent supprimer le ou les secrets de l’envoi (push) ou si nécessaire contourner la protection. Les administrateurs peuvent également spécifier un lien personnalisé qui s’affiche au contributeur lorsqu’un envoi (push) est bloqué. Ce lien peut contenir des ressources spécifiques à l’organisation destinées à aider les contributeurs. Pour plus d’informations, consultez « Protection des poussées pour les référentiels et les organisations ».
Remarque : Lorsque vous dupliquez un dépôt avec secret scanning ou la protection push activée, ces fonctionnalités ne sont pas activées par défaut sur le dupliqué (fork). Vous pouvez activer secret scanning ou la protection push sur le dupliqué (fork) de la même manière que vous les activez sur un référentiel autonome.
À propos des analyse des secrets sur GitHub Enterprise Server
Analyse des secrets est disponible sur tous les référentiels appartenant à l’organisation avec une licence pour GitHub Advanced Security. Cette fonctionnalité n’est pas disponible sur les référentiels appartenant à l’utilisateur.
Quand vous activez l’secret scanning pour un dépôt, GitHub analyse le code à la recherche des modèles qui correspondent aux secrets utilisés par de nombreux fournisseurs de services. Pour plus d’informations sur le contenu analysé au sein du dépôt, consultez « À propos de secret scanning » ci-dessus.
Lorsqu’un secret pris en charge est divulgué, GitHub Enterprise Server génère une alerte secret scanning. En outre, GitHub exécute régulièrement une analyse complète de l’historique Git du contenu existant dans les dépôts GitHub Advanced Security où la fonction secret scanning est activée et envoie des notifications d’alerte en suivant les paramètres de notification d’alerte secret scanning. Pour plus d’informations, consultez « Modèles Secret scanning ».
Si vous êtes administrateur de dépôt, vous pouvez activer l’analyse des secrets pour n’importe quel dépôt , y compris les dépôt archivés. Les propriétaires d’organisation peuvent également activer les analyse des secrets pour tous les dépôts ou pour tous les nouveaux dépôts au sein d’une organisation. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « Gestion des paramètres de sécurité et d'analyse pour votre organisation ».
Vous pouvez également définir des modèles secret scanning pour un référentiel, une organisation ou une entreprise. Pour plus d’informations, consultez « Définition de modèles personnalisés pour l’analyse des secrets ».
GitHub stocke les secrets détectés en utilisant le chiffrement symétrique, à la fois en transit et au repos. Pour permuter les clés de chiffrement utilisées pour le stockage des secrets détectés, vous pouvez nous communiquer avec nous via Support GitHub Enterprise.
Accès aux Alertes d’analyse de secrets
Quand vous activez l’secret scanning pour un dépôt ou que vous poussez des commits sur un dépôt où l’secret scanning est activée, GitHub recherche dans le contenu des secrets qui correspondent aux modèles définis par les fournisseurs de services et à tous les modèles personnalisés définis dans votre entreprise, organisation ou dépôt.
Lorsque secret scanning détecte un secret, GitHub génère une alerte.
- GitHub envoie une alerte par e-mail aux administrateurs du dépôt et aux propriétaires de l’organisation. Vous recevrez une alerte si vous surveillez le référentiel , et si vous avez activé les notifications pour les alertes de sécurité ou pour toutes les activités sur le référentiel .
- Si la personne qui a introduit le secret n’ignore pas le dépôt, GitHub lui envoie également une alerte par e-mail. Les e-mails contiennent un lien vers l’alerte d’secret scanning associée. La personne qui a introduit le secret peut ensuite afficher l’alerte dans le référentiel et résoudre l’alerte.
- GitHub affiche une alerte sous l’onglet Sécurité du dépôt.
Pour plus d’informations sur l’affichage et la résolution des Alertes d’analyse de secrets, consultez « Gestion des alertes à partir de l’analyse des secrets ».
Les administrateurs de référentiel et les propriétaires d’organisation peuvent accorder aux utilisateurs et aux équipes l’accès aux Alertes d’analyse de secrets. Pour plus d’informations, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt ».
Vous pouvez également utiliser l’API REST pour monitorer les résultats de l’secret scanning sur vos référentiels ou votre organisation. Pour plus d’informations sur les points de terminaison d’API, consultez « Points de terminaison d’API REST pour l’analyse de secrets ».