Les secrets exposés dans vos référentiels peuvent entraîner un accès non autorisé, des violations de données et des coûts importants pour votre organisation. Pour plus d’informations sur ces risques et sur la façon de les protéger, consultez Risques de fuite de secrets.
GitHub fournit des outils pour vous aider à comprendre et à traiter l’exposition de votre organisation aux secrets divulguées :
- Évaluation des risques secrets : analyse gratuite à la demande qui révèle l’exposition actuelle de votre organisation aux secrets divulguées.
**
GitHub Secret Protection
**: suite complète de fonctionnalités qui détecte les secrets existants et empêche les nouvelles fuites dans vos dépôts.
Évaluation des risques liés aux secrets
L’évaluation des risques secrets fournit aux propriétaires de l’organisation et aux gestionnaires de sécurité une analyse instantanée gratuite des référentiels de leur organisation pour identifier les secrets divulgués tels que les clés API, les jetons et les mots de passe.
Découvrez comment exécuter une évaluation gratuite des risques liés aux secrets
Présentation de l’évaluation
Le rapport d’évaluation comprend les éléments suivants :
-
**Nombre total de secrets détectés** : nombre agrégé de secrets exposés dans votre organisation. -
**Fuites publiques** : secrets trouvés dans des référentiels publics accessibles à tout le monde. -
**Fuites évitables** : secrets qui auraient pu être bloqués avec la protection Push activée. -
**Catégories de secrets** : distribution de types de secrets (par exemple, clés AWS, GitHub jetons ou mots de passe génériques).
Pourquoi évaluer votre risque
L'évaluation régulière aide à prévenir :
- Accès non autorisé à vos systèmes et données
- Interruptions de service dues à des identifiants compromis
- Problèmes de conformité réglementaire
- Perte financière de l’utilisation abusive des ressources
- Dommages à la réputation dus aux incidents de sécurité
GitHub Secret Protection
GitHub Secret Protection est un GitHub Advanced Security produit contenant une suite de fonctionnalités conçues pour empêcher, détecter et aider à corriger les fuites de secrets dans votre organisation.
Conformément à la vue instantanée du secret risk assessment qui offre un aperçu de l'exposition actuelle des secrets de votre organisation, GitHub Secret Protection:
-
**Implémente une surveillance continue** et étend les surfaces analysées au-delà du code pour inclure les demandes de tirage, les problèmes, les wikis et les discussions -
**Empêche les fuites de secrets** en bloquant les validations contenant des secrets avant d’être enregistrées dans GitHub -
**Crée des alertes actionnables** qui peuvent être regroupées dans des campagnes et affectées aux membres de l’équipe pour la correction -
**Répond à vos besoins spécifiques** en analysant les modèles propres à votre organisation et aux secrets non structurés tels que les mots de passe -
**Prend en charge la gouvernance à grande échelle** avec des paramètres dictant qui peut contourner les protections et ignorer les alertes -
**Met en évidence les analyses clés** par le biais d’une vue dédiée à la sécurité des secrets de votre organisation
Grâce à ces fonctionnalités, GitHub Secret Protection fournit une couverture complète pour votre organisation, ce qui réduit le risque de fuites secrètes coûteuses et de processus de correction à fort effort.
Pour plus d’informations sur les fonctionnalités spécifiques de GitHub Secret Protection, consultez Fonctionnalités de sécurité de GitHub.
Étapes suivantes
Maintenant que vous savez comment GitHub peut assurer la sécurité de vos secrets, vous devez examiner l'exposition actuelle de votre organisation aux secrets divulgués. Consultez Exécution de l’évaluation des risques secrets pour votre organisation.