Détection responsable des secrets génériques avec l'analyse des secrets par Copilot

Découvrez comment Analyse des secrets de Copilot utiliser l’IA de manière responsable pour analyser et créer des alertes pour des secrets non structurés, tels que des mots de passe.

Qui peut utiliser cette fonctionnalité ?

Analyse des secrets de Copilot est disponible pour les types de référentiels suivants :

Dans cet article

À propos de détection générique de secrets informatiquesAnalyse des secrets de Copilot

          Analyse des secrets de Copilot est détection générique de secrets informatiques, une expansion basée sur l’IA de secret scanning, qui identifie les secrets non structurés (mots de passe) dans votre code source, puis génère une alerte.

Remarque

Vous n’avez pas besoin d’un abonnement à GitHub Copilot pour utiliser la détection générique de secrets informatiques de Analyse des secrets de Copilot. Les fonctionnalités Analyse des secrets de Copilot sont disponibles pour les référentiels appartenant à des organisations et des entreprises disposant d’une licence pour GitHub Secret Protection.

          GitHub Secret Protection Les utilisateurs peuvent déjà recevoir Alertes de détection de secrets pour des modèles partenaires ou personnalisés trouvés dans leur code source, mais les secrets non structurés ne sont pas facilement détectés. 
          Analyse des secrets de Copilot utilise des modèles de langage volumineux (LLMs) pour identifier ce type de secret.

Lorsqu’un mot de passe est détecté, une alerte s’affiche dans la liste « Générique » des secret scanning alertes (sous l’onglet Security and quality du référentiel, de l’organisation ou de l’entreprise), afin que les responsables de la maintenance et de sécurité puissent examiner l’alerte et, le cas échéant, supprimer les informations d’identification ou implémenter un correctif.

          Pour les utilisateurs de GitHub Enterprise Cloud, un propriétaire d’entreprise doit d’abord définir une stratégie au niveau de l’entreprise qui contrôle si détection générique de secrets informatiques peut être activé et désactivé pour les référentiels d’une organisation. Par défaut, cette stratégie est définie sur « autorisé ». La fonctionnalité doit ensuite être activée pour les référentiels et les organisations.

Traitement de l’entrée

L’entrée est limitée au texte (généralement au code) qu’un utilisateur a archivé dans un référentiel. Le système fournit ce texte au LLM ainsi qu’une méta-invite demandant au LLM de rechercher des mots de passe dans l’étendue de l’entrée. L’utilisateur n’interagit pas directement avec le LLM.

Le système analyse les mots de passe à l’aide du LLM. Aucune donnée supplémentaire n’est collectée par le système, autre que ce qui est déjà collecté par la fonctionnalité existante secret scanning .

Sortie et affichage

Le LLM analyse les chaînes qui ressemblent à des mots de passe et vérifie que les chaînes identifiées incluses dans la réponse existent réellement dans l’entrée.

Ces chaînes détectées sont exposées en tant qu’alertes sur la secret scanning page des alertes, mais elles sont affichées dans une liste supplémentaire distincte de la normale Alertes de détection de secrets. L’objectif est que cette liste distincte soit triée de manière plus approfondie pour vérifier la validité des résultats. Chaque alerte note qu’elle a été détectée à l’aide de l’IA. Pour plus d’informations sur la façon d’afficher les alertes pour les secrets génériques, consultez Affichage et filtrage des alertes à partir de l’analyse des secrets.

Amélioration des performances de détection générique de secrets informatiques

Pour améliorer les performances de détection générique de secrets informatiques, nous vous recommandons de fermer correctement les alertes de faux positifs.

Vérifier la précision des alertes et les fermer le cas échéant

Étant donné que détection générique de secrets informatiques de Analyse des secrets de Copilot peut générer plus de faux positifs que la fonctionnalité secret scanning existante pour les modèles partenaires, il est important de passer en revue la précision de ces alertes. Lorsque vous vérifiez qu’une alerte est un faux positif, veillez à fermer l’alerte et à marquer la raison comme « Faux positif » dans l’interface GitHub utilisateur. L’équipe de GitHub développement utilisera des informations sur le volume de faux positifs et les emplacements de détection pour améliorer le modèle. GitHub n’a pas accès aux littéraux secrets eux-mêmes.

Limitations de détection générique de secrets informatiques

Lors de l’utilisation de Analyse des secrets de Copilot, détection générique de secrets informatiques, vous devez prendre en compte les limitations suivantes.

Étendue limitée

          Détection de secrets génériques recherche actuellement uniquement les instances de mots de passe dans le contenu Git. Cette fonctionnalité ne recherche pas d’autres types de secrets génériques et ne recherche pas de secrets dans du contenu non Git, par exemple GitHub Issues.

Risque d’alertes de faux positifs

          Détection de secrets génériques peut générer plus d’alertes positives fausses par rapport à la fonctionnalité existante secret scanning (qui détecte les modèles de partenaires et qui a un taux très faible de faux positifs). Pour atténuer ce bruit excessif, les alertes sont regroupées dans une liste distincte de celle des alertes des modèles partenaires. Les gestionnaires de sécurité et les responsables doivent trier chaque alerte pour en vérifier la précision.

Risque de comptes-rendus incomplets

          Détection de secrets génériques peut manquer des instances d’informations d’identification vérifiées dans un référentiel. Le LLM continuera de s'améliorer au fil du temps. Vous avez la responsabilité ultime d’assurer la sécurité de votre code.

Limitations prévues dans la conception

          Détection de secrets génériques présente les limitations suivantes par conception :

* Analyse des secrets de Copilot ne détectera pas les secrets qui sont manifestement faux ou testent les mots de passe, ou les mots de passe avec une faible entropie. * Analyse des secrets de Copilot détecte uniquement un maximum de 100 mots de passe par envoi (push).

  • Si cinq secrets détectés dans un seul fichier sont marqués comme faux positifs, Analyse des secrets de Copilot cesse de générer de nouvelles alertes pour ce fichier.
  •         Analyse des secrets de Copilot ne détecte pas les secrets dans les fichiers générés ou fournisseurs.

  •         Analyse des secrets de Copilot ne détecte pas les secrets dans les fichiers chiffrés.

  •         Analyse des secrets de Copilot ne détecte pas les secrets dans les types de fichiers : SVG, PNG, JPEG, CSV, TXT, SQL ou ITEM.

  •         Analyse des secrets de Copilot ne détecte pas les secrets dans le code de test. 
        Analyse des secrets de Copilot ignore les détections lorsque les deux conditions sont remplies :
    • Le chemin d'accès au fichier contient « test », « mock » ou « spec », ET
    • L’extension de fichier est .cs, .go, .java, .js, .kt, .php, .py, .rb, .scala, .swift, ou .ts.

Évaluation de détection générique de secrets informatiques

          Détection de secrets génériques a fait l’objet d’un Red Teaming responsable de l’IA et GitHub continuera à surveiller l’efficacité et la sécurité de la fonctionnalité dans le temps.

Étapes suivantes

  •         [AUTOTITLE](/code-security/secret-scanning/copilot-secret-scanning/enabling-ai-powered-generic-secret-detection)

  •         [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning)

Lectures complémentaires

  •         [AUTOTITLE](/code-security/secret-scanning/introduction/about-secret-scanning)