Configuration de l’analyse de secrets pour votre appliance

À propos de l’secret scanning

Si quelqu’un archive un secret dans un dépôt avec un modèle connu, l’secret scanning l’intercepte au moment de l’archivage et vous aide à atténuer l’impact de la fuite. Les administrateurs de dépôt sont avertis en présence d’un secret dans un commit et peuvent rapidement examiner tous les secrets détectés sous l’onglet Securité du dépôt. Consultez « À propos de l’analyse des secrets ».

Disponibilité

Lorsque l’entreprise a activé le GitHub Secret Protection, Secret scanning devient disponible pour les référentiels appartenant à l’organisation ainsi qu’aux utilisateurs.

Vérification de la présence de Advanced Security

dans votre licence

Vous pouvez vérifier si votre entreprise dispose d’une licence pour les produits Advanced Security en passant en revue les paramètres de votre entreprise. Pour plus d’informations, consultez « Activation des produits GitHub Advanced Security pour votre entreprise ».

Prérequis pour l’secret scanning

• L’indicateur de processeur SSSE3 (Supplemental Streaming SIMD Extensions 3) doit être activé sur la machine virtuelle/KVM qui exécute GitHub Enterprise Server. Pour en savoir plus sur SSSE3, consultez le Manuel de référence pour l’optimisation des architectures Intel 64 et IA-32 dans la documentation Intel.

• Une licence pour GitHub Secret Protection ou GitHub Advanced Security (consultez Facturation de licences GitHub Advanced Security)

• Secret scanning activée dans la console de gestion (consultez Activation des produits GitHub Advanced Security pour votre entreprise)

Vérification de la prise en charge de l’indicateur SSSE3 sur vos processeurs virtuels

Le jeu d’instructions SSSE3 est nécessaire, car l’secret scanning tire profit des critères spéciaux avec accélération matérielle pour rechercher les informations d’identification potentielles commitées dans vos dépôts GitHub. SSSE3 est activé pour la plupart des processeurs modernes. Vous pouvez vérifier si SSSE3 est activé pour les processeurs virtuels disponibles pour votre instance GitHub Enterprise Server.

1. Connectez-vous à l’interpréteur de commandes d’administration de votre instance GitHub Enterprise Server. Consultez « Accès à l’interpréteur de commandes d’administration (SSH) ».

2. Entrez la commande suivante :

   grep -iE '^flags.*ssse3' /proc/cpuinfo >/dev/null; echo $?
   

   Si elle retourne la valeur 0, cela signifie que l’indicateur SSSE3 est disponible et activé. Vous pouvez désormais activer secret scanning. Consultez Activation de secret scanning ci-dessous.

   Si elle ne retourne pas 0, SSSE3 n’est pas activé sur votre machine virtuelle/KVM. Vous devez vous reporter à la documentation du matériel/hyperviseur pour savoir comment activer l’indicateur ou le rendre disponible pour les machines virtuelles invitées.

Activation de l’secret scanning

1. À partir d’un compte d’administration sur GitHub Enterprise Server, cliquez sur en haut à droite de n’importe quelle page.

2. Si vous ne figurez pas déjà sur la page « Administrateur du site », dans le coin supérieur gauche, cliquez sur Administrateur du site.

3. Dans la barre latérale « Site admin », cliquez sur Console de gestion.

4. Dans la barre latérale « Paramètres », cliquez sur Sécurité.

5. Sous « Sécurité », sélectionnez Secret scanning. 1. Sous la barre latérale « Paramètres », cliquez sur Enregistrer les paramètres.

   Remarque

   L’enregistrement des paramètres dans la Console de gestion redémarre les services système, ce qui peut entraîner un temps d’arrêt visible pour l’utilisateur.

6. Attendez la fin de l’exécution de la configuration.

   Si vous le souhaitez, pour permettre à vos utilisateurs d’activer les vérifications de validité au niveau de l’entreprise, de l’organisation ou du référentiel, configurez les vérifications de validité pour secret scanning.

7. Cliquez sur Vérifications de validité de secret scanning. Pour plus d’informations sur les vérifications de validité, consultez Activer les vérifications de validité pour votre référentiel.

   Remarque

   L’activation des vérifications de validité envoie des demandes sortantes aux services partenaires pour vérifier les secrets détectés. Cela signifie que les métadonnées secrètes quittent votre instance. Vous devez vous assurer que cela s’aligne sur les stratégies de sécurité et de conformité de votre entreprise avant d’activer.

8. Pour exécuter un test de connexion simple pour vérifier que les connexions sortantes sont possibles, cliquez sur Validité vérifie le test de connexion.

Désactivation de l’secret scanning

1. À partir d’un compte d’administration sur GitHub Enterprise Server, cliquez sur en haut à droite de n’importe quelle page.

2. Si vous ne figurez pas déjà sur la page « Administrateur du site », dans le coin supérieur gauche, cliquez sur Administrateur du site.

3. Dans la barre latérale « Site admin », cliquez sur Console de gestion.

4. Dans la barre latérale « Paramètres », cliquez sur Sécurité.

5. Sous « Sécurité », désélectionnez Secret scanning .

6. Sous la barre latérale « Paramètres », cliquez sur Enregistrer les paramètres.

   Remarque

   L’enregistrement des paramètres dans la Console de gestion redémarre les services système, ce qui peut entraîner un temps d’arrêt visible pour l’utilisateur.

7. Attendez la fin de l’exécution de la configuration.