À propos de la protection lors du push

Qu’est-ce que la protection des envois (push) ?

La protection Push est une fonctionnalité secret scanning conçue pour empêcher les informations sensibles, telles que les secrets ou les jetons, d’être poussées vers votre dépôt. Contrairement à secret scanning, qui détecte les secrets une fois qu’ils ont été validés, la protection push analyse de manière proactive votre code pour détecter les secrets pendant le processus push, puis bloque le push s’il y a détection.

Fonctionnement de la protection d’envois (push)

La protection lors du push bloque les secrets détectés dans :

• Envoi depuis la ligne de commande
• Commits effectués dans l’interface utilisateur GitHub
• Téléversements de fichiers dans un référentiel sur GitHub
• Interactions avec le serveur GitHub MCP (référentiels publics uniquement)

Lorsque la protection de push détecte un secret potentiel lors d'une tentative de push, elle bloque le push et fournit un message détaillé expliquant la raison du blocage. Vous devrez examiner le code concerné, supprimer toute information sensible, puis relancer le push.

Types de protection par poussée

Il existe deux types de protection par poussée :

•         [Protection Push pour les référentiels](#push-protection-for-repositories)
  

•         [Protection Push pour les utilisateurs](#push-protection-for-users)
  

Protection Push pour les référentiels

Vous pouvez activer la protection Push pour les dépôts au niveau du référentiel, de l’organisation ou de l’entreprise. Cette forme de protection par notifications push :

• Nécessite que GitHub Secret Protection soit activé
• Est désactivé par défaut et peut être activé par un administrateur de référentiel, un propriétaire de l’organisation, un gestionnaire de sécurité ou un propriétaire d’entreprise
• Bloque les envois (push) contenant des secrets d'accéder à des référentiels spécifiques protégés
• Génère des alertes pour les contournements de la protection par push sous l’onglet Sécurité du référentiel, de l’organisation et de l’entreprise

Protection d’envoi pour les utilisateurs

La protection Push pour les utilisateurs est disponible uniquement sur GitHub.com, et est spécifique à votre compte GitHub. Cette forme de protection push :

• Est activé par défaut
• Vous empêche d’envoyer des secrets à des dépôts publics sur GitHub
• Ne génère pas d’alertes lorsque vous ignorez la protection Push, sauf si la protection Push est également activée au niveau du référentiel

Contournement et alertes de la protection Push

Pour la protection push pour les référentiels, par défaut, toute personne disposant d’un accès en écriture au référentiel peut contourner la protection push en spécifiant une raison de contournement.

Si vous souhaitez un meilleur contrôle sur les contributeurs qui peuvent contourner la protection contre les push et sur les push contenant des secrets qui doivent être autorisés, vous pouvez configurer un groupe spécifique de réviseurs pour superviser et gérer les demandes de contournement.

Avantages de la protection par poussée

•         **Sécurité préventive** : la protection lors du push agit comme un mécanisme de défense de première ligne en analysant le code à la recherche de secrets au moment du push. Cette approche préventive permet d’intercepter les problèmes potentiels avant qu’ils ne soient fusionnés dans un référentiel.
  

•         **Retour immédiat :** les développeurs reçoivent un retour instantané si un secret potentiel est détecté lors d’une tentative de push. Cette notification immédiate permet une correction rapide et réduit le risque d’exposition d’informations sensibles.
  

•         **Réduction du risque de fuites de données** : en bloquant les commits contenant des informations sensibles, la protection lors du push réduit considérablement le risque de fuites de données accidentelles. Cela contribue à protéger votre infrastructure, vos services et vos données contre les accès non autorisés.
  

•         **Gestion efficace des secrets** : plutôt que de gérer rétrospectivement des secrets exposés, les développeurs peuvent résoudre les problèmes à la source. Cela rend la gestion des secrets plus efficace et moins chronophage.
  

•         **Contourner les fonctionnalités pour une flexibilité :** Dans les cas où des faux positifs se produisent ou lorsque certains modèles sont nécessaires, vous pouvez contourner la protection push pour les utilisateurs, et les utilisateurs désignés peuvent utiliser la fonctionnalité de contournement déléguée pour contourner la protection push pour les référentiels. Cela offre de la flexibilité sans compromettre la sécurité globale.
  

•         **Possibilité de détecter des modèles personnalisés (pour les référentiels dans les organisations) :** Les organisations peuvent définir des modèles personnalisés pour détecter les secrets uniques à leur environnement. Cette personnalisation garantit que la protection push peut identifier et bloquer efficacement même les secrets non standard.
  

Personnalisation

Après avoir activé la protection Push pour les référentiels, vous pouvez la personnaliser en :

• Définition de modèles personnalisés pour bloquer les push contenant des schémas secrets uniques
• Désignation des contributeurs qui peuvent contourner la protection push et approuver les demandes de contournement pour d'autres contributeurs

Étapes suivantes

Pour activer la protection push : * Pour un référentiel, consultez Activation de la protection d’envoi pour votre référentiel. * Pour une organisation ou une entreprise, vous devez appliquer un security configuration. Consultez Application de la configuration de sécurité GitHub recommandée dans votre organisation et Application de la configuration de sécurité recommandée GitHub à votre entreprise.

Pour obtenir la liste des secrets et fournisseurs de services pris en charge par la protection Push, consultez Modèles de détection de secrets pris en charge.