À propos des demandes de contournement de la protection à l’envoi

Découvrez comment fonctionnent les demandes de contournement lorsque la protection push bloque les validations contenant des secrets.

Qui peut utiliser cette fonctionnalité ?

  • Propriétaires de l’organisation
  • Gestionnaires de sécurité
  • Les utilisateurs des équipes, des rôles par défaut ou des rôles personnalisés qui ont été ajoutés à la liste de contournement.
  • Les utilisateurs affectés à un rôle personnalisé avec la permission affinée «  passer en revue et gérer les demandes de contournement de secret scanning ».

Dans cet article

À propos des demandes de dérogation pour la protection des notifications push

Lorsque la protection push bloque une validation contenant un secret, les contributeurs peuvent avoir besoin de contourner le bloc pour terminer leur envoi. Si le contournement délégué de la protection à l’envoi est activé, les contributeurs ne disposant pas des droits de contournement doivent soumettre une demande de contournement et attendre l’approbation des réviseurs désignés. Cela permet aux organisations de maintenir la surveillance de la sécurité tout en activant des exceptions légitimes si nécessaire. Pour plus d’informations, consultez « À propos du contournement délégué pour la protection push ».

Si le contournement délégué pour la protection Push n’est pas activé, les contributeurs peuvent contourner la protection Push à leur propre discrétion.

Lors de l’activation d’un contournement délégué pour la protection d’envoi, les propriétaires d’organisation ou les administrateurs de référentiel décident quels individus , rôles ou équipes peuvent passer en revue (approuver ou refuser) les demandes de contournement de la protection d’envoi.

Si vous êtes un réviseur désigné, vous devez passer en revue les demandes de contournement et les approuver ou les refuser en fonction des détails de la demande et des stratégies de sécurité de votre organisation.

Fonctionnement des requêtes de contournement

Lorsqu’un contributeur sans droits de contournement tente d’envoyer un commit contenant un secret, une demande de contournement est envoyée aux réviseurs. Groupe désigné de réviseurs :

  • Reçoit une notification par e-mail contenant un lien vers la demande
  • passe en revue la demande dans la page « Demandes de contournement » du référentiel ou dans la vue d’ensemble de la sécurité de l’organisation ;
  • A 7 jours pour approuver ou refuser la demande avant l’expiration de la demande

Informations disponibles pour les réviseurs

GitHub affiche les informations suivantes pour chaque requête :

  • Nom de l’utilisateur qui a tenté d’envoyer (push)
  • Référentiel dans lequel la tentative d’envoi a eu lieu
  • Hash du commit envoyé
  • Horodateur de l’envoi
  • Chemin d’accès aux fichiers et informations de branche (les informations de branche ne sont disponibles que pour les envois push vers des branches uniques)

Résultats

Le contributeur est averti par e-mail de la décision et doit prendre l’action requise :

  •         **Si la demande est approuvée** : le contributeur peut pousser le commit contenant le secret vers le référentiel.

  •         **Si la demande est refusée** : le contributeur doit supprimer le secret de la validation avant de transmettre correctement la validation au référentiel.

Révisions automatiques des demandes de contournement

Vous pouvez utiliser GitHub Apps avec des autorisations affinées pour examiner et approuver par programmation les demandes de contournement de la protection d’envoi. Cela vous permet d’appliquer des stratégies de sécurité cohérentes, d’intégrer à des outils de sécurité externes ou de réduire la charge de révision manuelle.

Pour plus d’informations sur les autorisations, consultez Autorisations de l’organisation pour « Demandes de contournement de l’organisation pour l’analyse des secrets ».

Étapes suivantes