À propos de l’analyse des secrets pour les partenaires

Lorsque secret scanning détecte les détails d’authentification d’un fournisseur de services dans un dépôt public sur GitHub, une alerte est envoyée directement au fournisseur. Cela permet aux fournisseurs de services qui sont partenaires de GitHub de prendre rapidement des mesures visant à sécuriser leurs systèmes.

Qui peut utiliser cette fonctionnalité ?

Alertes d’analyse des secrets pour les partenaires s’exécute par défaut sur les référentiels suivants :

  • Des dépôts publics et packages publics npm sur GitHub

Dans cet article

À propos des alertes d’analyse des secrets pour les partenaires

GitHub analyse les secrets émis par des fournisseurs de services spécifiques ayant rejoint notre programme de partenariat dans les dépôts publics et les packages npm publics, et alerte le fournisseur de services approprié chaque fois qu’un secret est détecté dans un commit. Le fournisseur de services valide la chaîne, puis décide de révoquer ou non le secret, d’émettre un nouveau secret ou de vous contacter directement. Son action dépend des risques associés pour vous ou lui. Pour en savoir plus sur notre programme de partenariat, consultez Programme de partenariat d’analyse des secrets.

Remarque

Vous ne pouvez pas changer la configuration de l’secret scanning pour les modèles de partenaires sur les référentiels publics.

Alertes d’analyse des secrets pour les partenaires analyse :

  • Descriptions et commentaires dans les problèmes
  • Titres, descriptions et commentaires, dans les problèmes historiques ouverts et fermés. Une notification est envoyée au partenaire approprié quand un modèle de partenaire historique est détecté.
  • Titres, descriptions et commentaires dans les demandes de tirage
  • Titres, descriptions et commentaires dans GitHub Discussions
  • Wikis
  • Idées secrètes. Une notification est envoyée au partenaire concerné lorsqu’un modèle partenaire est détecté dans un gist secret.

La raison pour laquelle les alertes des partenaires sont directement envoyées aux fournisseurs de secrets dès qu’une fuite est détectée pour l’un de leurs secrets est que cela permet au fournisseur de prendre des mesures immédiates pour vous protéger et protéger ses ressources. Le processus de notification pour les alertes régulières est différent. Des alertes régulières sont affichées dans l’onglet Sécurité du référentiel sur GitHub pour que vous puissiez les résoudre.

Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.

Quels sont les secrets pris en charge ?

Pour plus d’informations sur les secrets et fournisseurs de services pris en charge par la protection push, consultez Modèles de détection de secrets pris en charge.

Lectures complémentaires

  •         [AUTOTITLE](/code-security/secret-scanning/introduction/about-secret-scanning)

  •         [AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns)

  •         [AUTOTITLE](/code-security/secret-scanning/secret-scanning-partnership-program/secret-scanning-partner-program)