À propos de l’analyse des secrets

Empêchez l’utilisation frauduleuse de vos secrets en détectant automatiquement les informations d’identification exposées avant qu’elles ne puissent être exploitées.

Dans cet article

Lorsque les informations d’identification telles que les clés d’API et les mots de passe sont validées dans les référentiels, elles deviennent des cibles pour un accès non autorisé. Secret scanning détecte automatiquement ces secrets exposés pour que vous puissiez les sécuriser avant qu’ils ne soient exploités.

Conseil

À tout moment, vous pouvez exécuter une évaluation gratuite du code de votre organisation pour les secrets divulgués.

Pour générer un rapport, ouvrez l'onglet ** Sécurité ** de votre organisation, affichez la page ** Évaluations **, puis cliquez sur Analyser votre organisation.

Comment l’analyse des secrets protège votre code

Secret scanning analyse l’historique Git complet de toutes les branches de votre dépôt afin de détecter des clés d’API, mots de passe, jetons et autres types de secrets connus. GitHub réanalyse régulièrement les dépôts lorsque de nouveaux types de secrets sont ajoutés.

GitHub analyse également automatiquement :

  • Descriptions et commentaires dans les problèmes
  • Titres, descriptions et commentaires dans les problèmes historiques ouverts et fermés
  • Titres, descriptions et commentaires dans les demandes de tirage
  • Titres, descriptions et commentaires dans GitHub Discussions
  • Wikis
  • Gists secrètes

Alertes et remédiation de Secret scanning.

Lorsque secret scanning trouve un secret potentiel, GitHub génère une alerte sous l’onglet Sécurité de votre référentiel avec des détails sur les informations d’identification exposées.

Lorsque vous recevez une alerte, faites pivoter immédiatement les informations d’identification affectées pour empêcher tout accès non autorisé. Bien que vous puissiez également supprimer des secrets de votre historique Git, cela est fastidieux et souvent inutile si vous avez déjà révoqué les informations d’identification.

Personnalisabilité

Au-delà de la détection par défaut des secrets du partenaire et du fournisseur, vous pouvez développer et personnaliser secret scanning pour répondre à vos besoins.

  •         **Schémas non fournisseurs.** Développez la détection vers des secrets qui ne sont pas liés à un fournisseur de services spécifique, tels que des clés privées, des chaînes de connexion et des clés API génériques.

  •         **Modèles personnalisés.** Définissez vos propres expressions régulières pour détecter les secrets spécifiques à l’organisation qui ne sont pas couverts par les modèles par défaut.

  •         **Vérifications de validité.** Hiérarchiser la correction en vérifiant si les secrets détectés sont toujours actifs.

À propos des vérifications de validité

Les vérifications de validité vous aident à hiérarchiser les secrets à corriger en premier en vérifiant si un secret détecté est toujours actif. Lorsque vous activez les vérifications de validité, secret scanning peut contacter le service émetteur du secret afin de déterminer si les informations d’authentification ont été révoquées.

Les vérifications de validité sont distinctes du programme de partenaires de secret scanning. Bien que les secrets partenaires soient automatiquement signalés aux fournisseurs de services pour révocation, des vérifications de validité confirment l’état des secrets que vous gérez dans vos propres alertes. Pour plus d’informations, consultez « À propos des vérifications de validité ».

Comment puis-je accéder à cette fonctionnalité ?

Secret scanning est disponible pour les types de référentiels suivants :

  •         **Référentiels publics** : Secret scanning s’exécute automatiquement gratuitement.

  •         **Référentiels privés et internes appartenant à l’organisation** : disponible avec [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) activé sur GitHub Team ou GitHub Enterprise Cloud.

  •         **Dépôts appartenant à l'utilisateur** : disponibles sur GitHub Enterprise Cloud avec Enterprise Managed Users. Disponible sur GitHub Enterprise Server lorsque l’entreprise a [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) activée.

Prochaines étapes

  •         **Si vous avez reçu une alerte**, consultez [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning) pour savoir comment passer en revue, résoudre et corriger les secrets exposés.

  •         **Si vous sécurisez une organisation**, consultez [AUTOTITLE](/code-security/how-tos/secure-at-scale/configure-organization-security/configure-specific-tools/assess-your-secret-risk) pour déterminer l’exposition de votre organisation aux secrets divulguées.

Lectures complémentaires