Activer les vérifications de validité pour votre référentiel

Activer les vérifications de validité pour votre référentiel vous permet de hiérarchiser la correction des alertes, car elle vous indique si un secret est actif ou inactif.

Qui peut utiliser cette fonctionnalité ?

Validity checks for partner patterns are available for the following repository types:

Validity checks for partner patterns are not available for GitHub Enterprise Cloud with data residency on GHE.com.

Dans cet article

À propos des vérifications de validité

Vous pouvez activer les vérifications de validité des secrets identifiés en tant que jetons de fournisseur de services pour votre référentiel. Une fois activé, GitHub vérifiera périodiquement la validité d’une information d’identification détectée, en envoyant le secret directement au fournisseur. Cette action est effectuée dans le cadre du programme de partenariat de GitHub pour l’analyse des secrets. Pour en savoir plus sur notre programme de partenariat, consultez Programme de partenariat d’analyse des secrets.

GitHub affiche l’état de validation du secret dans la vue des alertes, afin que vous puissiez voir si le secret est active, inactive ou si l’état de validation est unknown. Si vous le souhaitez, vous pouvez effectuer une vérification de validité « à la demande » pour le secret dans la vue des alertes.

Par ailleurs, vous pouvez choisir d’activer les vérifications de validité pour les modèles partenaires. Une fois activé, GitHub vérifiera périodiquement la validité d’une information d’identification détectée, en envoyant le secret directement au fournisseur. Cette action est effectuée dans le cadre du programme de partenariat de GitHub pour l’analyse formelle des secrets. GitHub effectue généralement des requêtes GET pour vérifier la validité des informations d’identification et sélectionne les points de terminaison les moins intrusifs ainsi que ceux qui ne retournent aucune information personnelle.

GitHub affiche l’état de validation du secret dans la vue d’alerte.

Vous pouvez filtrer par état de validation sur la page des alertes pour vous aider à hiérarchiser les alertes prioritaires.

Remarque

GitHub effectue généralement des requêtes GET pour vérifier la validité des informations d’identification et sélectionne les points de terminaison les moins intrusifs ainsi que ceux qui ne retournent aucune information personnelle.

Pour plus d’informations sur l’utilisation des vérifications de validité, consultez Évaluation des alertes à partir de l’analyse des secrets.

Activer les vérifications de validité

Remarque

Vous pouvez également utiliser l’API REST afin d’activer la vérification de validité pour les modèles partenaires de votre référentiel. Pour plus d’informations, consultez « Points de terminaison d’API REST pour les référentiels ».

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom de votre référentiel, cliquez sur Paramètres. Si vous ne voyez pas l’onglet « Paramètres », sélectionnez le menu déroulant , puis cliquez sur Paramètres.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Paramètres » est mis en évidence avec un encadré orange foncé.

  3. Dans la section « Sécurité » de la barre latérale, cliquez sur Advanced Security.

  4. Sous « Secret Protection », à droite de « Contrôles de validité », cliquez sur Activer.

  5. Faites défiler jusqu’au bas de la page, puis cliquez sur Enregistrer les modifications.

Les propriétaires d’organisations et les administrateurs d’entreprise peuvent également activer la fonctionnalité pour tous les référentiels de l’organisation ou de l’entreprise. Pour plus d’informations sur l’activation de la fonctionnalité au niveau de l’organisation, consultez Création d’une configuration de sécurité personnalisée. Pour plus d’informations sur l’activation de la fonctionnalité au niveau de l’entreprise, consultez Créer une configuration de sécurité personnalisée pour votre entreprise.

Pour aller plus loin

  •           [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning)