Interprétation des résultats de l’évaluation des risques liés aux secrets

Analyser les résultats de votre secret risk assessment et hiérarchiser la résolution des fuites.

Qui peut utiliser cette fonctionnalité ?

Organization owners, security managers, and users with the admin role

Dans cet article

Présentation

Dans ce tutoriel, vous allez interpréter vos résultats d’évaluation des risques secrets et découvrir comment :

  • Comprendre les métriques de risque dans le tableau de bord
  • Identifier les fuites secrètes à haut risque
  • Prioriser les secrets pour la remédiation

Prerequisites

Vous devez générer un rapport secret risk assessment et attendre la fin de l’analyse. Consultez Exécution de l’évaluation des risques secrets pour votre organisation.

Étape 1 : Comprendre vos métriques de tableau de bord

Une fois votre évaluation terminée, passez en revue les métriques clés en haut du tableau de bord :

  •         **Total des secrets** : nombre total de fuites de secrets trouvées dans votre organisation

  •         **Fuites publiques** : secrets distincts trouvés dans les dépôts **publics**

  •           **Fuites évitables** : fuites que la protection push aurait pu prévenir

Vous pouvez également déterminer le nombre de secrets trouvés dans vos dépôts privés en soustrayant le nombre de fuites publiques de vos secrets totaux. Bien que la correction de ces secrets soit moins immédiatement importante, elles présentent toujours un risque si quelqu’un obtient un accès non autorisé à vos référentiels ou si un dépôt est rendu public.

Étape 2 : Comprendre les catégories de secrets

Consultez la section Catégories de secrets pour comprendre les types de secrets qui ont été divulguées.

  •         **Modèles de fournisseur** : formats de secret spécifiques pour les services connus (AWS, Azure, GitHub tokens)

  •         **Modèles génériques** : formats de secrets génériques tels que les clés privées, les clés API, les mots de passe

Les modèles de fournisseur sont souvent plus faciles à identifier et à révoquer, car vous connaissez exactement le service auquel ils appartiennent. Les modèles génériques peuvent nécessiter davantage d’investigation.

Étape 3 : Identifier le nombre de référentiels affectés

Vérifiez la métrique Référentiels contenant des fuites, qui indique combien de vos dépôts contiennent des fuites de secrets.

Si un pourcentage élevé de référentiels contient des fuites, cela peut indiquer :

  • Un problème de culture répandu autour de la gestion des secrets
  • Un besoin de formation à l’échelle de l’organisation
  • Garde-fous manquants comme la protection push, qui bloque les secrets avant qu’ils ne soient validés

Si seuls quelques dépôts contiennent des fuites, vous pouvez :

  • Concentrer les efforts de correction sur des équipes spécifiques
  • Utiliser les informations de fuite pour déterminer quels référentiels sont des zones à haut risque

Étape 4 : Passer en revue les secrets divulguées par type

Faites défiler jusqu’au bas pour afficher la table de type secret détaillée, qui inclut :

  •         **Type de secret** : type de secret spécifique

  •         **Référentiels distincts** : nombre de dépôts différents contenant ce type

  •         **Secrets trouvés** : nombre total de ce type de secret dans tous les référentiels

La table trie automatiquement par nombre le plus élevé, ce qui vous permet d’identifier les risques les plus importants.

Si vous voyez de nombreux secrets du même type (par exemple, plusieurs clés AWS), cela indique :

  • Les développeurs peuvent ne pas utiliser de variables d’environnement
  • Documentation manquante sur la gestion des secrets

Maintenant que vous comprenez les métriques, hiérarchisez la correction en fonction du risque.

Les secrets de priorité la plus élevée sont des modèles de fournisseurs divulgués dans des référentiels publics, car ils sont :

  • Accessible à toute personne sur Internet
  • Souvent plus facile à identifier et révoquer, car vous savez quel service ils appartiennent à

Ensuite, vous pouvez traiter les secrets qui présentent un risque moindre ou nécessiter des efforts plus importants pour corriger. Il peut s’agir des éléments suivants :

  •         **Modèles génériques dans les référentiels publics**, qui peuvent nécessiter une investigation pour identifier le service ou le système auquel ils appartiennent

  •         **Fuites de référentiel privé**, qui représentent un risque immédiat inférieur, mais qui doivent toujours être traitées

Enfin, recherchez les indicateurs suivants, qui peuvent nécessiter des efforts de prévention supplémentaires au-delà de la correction des fuites :

  •         **De nombreux référentiels avec fuites** : indique la nécessité d’une formation à l’échelle de l’organisation et d’une meilleure sensibilisation à la sécurité

  •         **Types de secrets répétés** : suggère des flux de travail spécifiques ou des équipes ont besoin d’une intervention ciblée

  •         **Catégories secrètes courantes** : peut pointer vers des processus CI/CD particuliers nécessitant des améliorations de sécurité

Étapes suivantes

Pour renforcer la sécurité des secrets et des insights supplémentaires, GitHub recommande d’activer GitHub Secret Protection pour tous vos référentiels. Consultez Tarification et activation GitHub Secret Protection.