À propos de l’analyse des secrets

Empêchez l’utilisation frauduleuse de vos secrets en détectant automatiquement les informations d’identification exposées avant qu’elles ne puissent être exploitées.

Dans cet article

Lorsque des informations d’identification telles que des clés API et des mots de passe sont validées dans les référentiels en tant que secrets codés en dur, elles deviennent des cibles pour un accès non autorisé. Secret scanning détecte automatiquement les fuites d’informations d’identification afin de pouvoir les sécuriser avant qu’elles ne soient exploitées.

Conseil

À tout moment, vous pouvez exécuter une évaluation gratuite du code de votre organisation pour les secrets divulgués.

Pour générer un rapport, ouvrez l’onglet Security and quality de votre organisation, affiche la page Évaluations , puis cliquez sur Analyser votre organisation.

Comment l’analyse des secrets protège votre code

          Secret scanning analyse l’intégralité de votre historique Git sur toutes les branches de votre référentiel pour obtenir des informations d’identification codées en dur, notamment les clés API, les mots de passe, les jetons et d’autres types de secrets connus. Cela vous aide à identifier l’expansion secrète, la prolifération incontrôlée des informations d’identification entre les référentiels, avant qu’il ne devienne un risque de sécurité. 
          GitHub réanalyse régulièrement les dépôts lorsque de nouveaux types de secrets sont ajoutés.

          GitHub analyse également automatiquement :
  • Descriptions et commentaires dans les problèmes
  • Titres, descriptions et commentaires dans les problèmes historiques ouverts et fermés
  • Titres, descriptions et commentaires dans les demandes de tirage
  • Titres, descriptions et commentaires dans GitHub Discussions
  • Wikis
  • Gists secrètes

          Secret scanning alertes et correction

Lorsque secret scanning détecte une fuite d’informations d’identification, GitHub génère une alerte dans l’onglet Security and quality de votre référentiel avec des détails sur les informations d’identification exposées.

Lorsque vous recevez une alerte, faites pivoter immédiatement les informations d’identification affectées pour empêcher tout accès non autorisé. Bien que vous puissiez également supprimer des secrets de votre historique Git, cela est fastidieux et souvent inutile si vous avez déjà révoqué les informations d’identification.

Intégration des partenaires

          GitHub s'associe à une grande variété de fournisseurs de services pour valider les secrets détectés. Lorsqu’un secret partenaire est détecté, nous informons le fournisseur afin qu’il puisse prendre des mesures, par exemple révoquer les informations d’identification. Les secrets partenaires sont signalés directement au fournisseur et ne s'affichent pas dans vos alertes de dépôt. Pour plus d’informations, consultez « [AUTOTITLE](/code-security/secret-scanning/secret-scanning-partnership-program/secret-scanning-partner-program) ».

Personnalisabilité

Au-delà de la détection par défaut des secrets du partenaire et du fournisseur, vous pouvez développer et personnaliser secret scanning en fonction de vos besoins.

  •         **Schémas non fournisseurs.** Développez la détection vers des secrets qui ne sont pas liés à un fournisseur de services spécifique, tels que des clés privées, des chaînes de connexion et des clés API génériques.

  •         **Modèles personnalisés.** Définissez vos propres expressions régulières pour détecter les secrets spécifiques à l’organisation qui ne sont pas couverts par les modèles par défaut.

  •         **Vérifications de validité.** Hiérarchiser la correction en vérifiant si les secrets détectés sont toujours actifs.

  •         **
        Analyse des secrets de Copilot.** Utilisez l’IA pour détecter des secrets non structurés tels que des mots de passe ou pour générer des expressions régulières pour des modèles personnalisés.

À propos des vérifications de validité

Les vérifications de validité vous aident à hiérarchiser les secrets à corriger en premier en vérifiant si un secret détecté est toujours actif. Lorsque vous activez les vérifications de validité, secret scanning peut contacter le service d’émission du secret pour déterminer si les identifiants ont été révoqués.

Les vérifications de validité sont distinctes du programme partenaire secret scanning. Bien que les secrets partenaires soient automatiquement signalés aux fournisseurs de services pour révocation, des vérifications de validité confirment l’état des secrets que vous gérez dans vos propres alertes. Pour plus d’informations, consultez « À propos des vérifications de validité ».

Comment puis-je accéder à cette fonctionnalité ?

Secret scanning est disponible pour les types de référentiels suivants :

  •         **Référentiels publics** : Secret scanning s’exécute automatiquement gratuitement.

  •         **Référentiels privés et internes appartenant à l’organisation** : disponible avec [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) activé sur GitHub Team ou GitHub Enterprise Cloud.

  •         **Dépôts appartenant à l'utilisateur** : disponibles sur GitHub Enterprise Cloud avec Enterprise Managed Users. Disponible sur GitHub Enterprise Server lorsque l’entreprise a [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) activée.

Prochaines étapes

  •         **Si vous avez reçu une alerte**, consultez [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning) pour savoir comment passer en revue, résoudre et corriger les secrets exposés.

  •         **Si vous sécurisez une organisation**, consultez [AUTOTITLE](/code-security/how-tos/secure-at-scale/configure-organization-security/configure-specific-tools/assess-your-secret-risk) pour déterminer l’exposition de votre organisation aux secrets divulguées.

Lectures complémentaires