Affichage et filtrage des alertes à partir de l’analyse des secrets

Découvrez comment rechercher et filtrer alertes d’analyse des secrets pour les utilisateurs les alertes pour votre référentiel.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Dans cet article

À propos de la page d'alerte secret scanning

Quand vous activez l’secret scanning pour un dépôt ou que vous poussez des commits sur un dépôt où l’secret scanning est activée, GitHub recherche dans le contenu des secrets qui correspondent aux modèles définis par les fournisseurs de services et à tous les modèles personnalisés définis dans votre entreprise, organisation ou dépôt.

Lorsque secret scanning détecte un secret, GitHub génère une alerte. GitHub affiche une alerte sous l’onglet Sécurité du dépôt.

Pour vous aider à trier les alertes plus efficacement, GitHub sépare les alertes en deux listes :

  • Alertes par défaut
  • Alertes génériques

Liste des alertes par défaut

La liste des alertes par défaut affiche les alertes relatives aux modèles pris en charge et aux modèles personnalisés spécifiés. Il s’agit de la vue principale des alertes.

Liste des alertes génériques

La liste des alertes génériques affiche les alertes liées à des modèles non fournisseurs (tels que les clés privées), ou à des secrets génériques détectés à l’aide de l’IA (tels que les mots de passe). Ces types d'alertes peuvent avoir un taux plus élevé de faux positifs ou de secrets utilisés dans les tests. Vous pouvez basculer vers la liste des alertes génériques à partir de la liste des alertes par défaut.

En outre, les alertes qui appartiennent à cette catégorie :

  • Sont limitées en quantité à 5 000 alertes par référentiel (cela inclut les alertes ouvertes et fermées).
  • Ne sont pas affichés dans les vues récapitulatives de la vue d'ensemble de la sécurité, mais uniquement dans la vue « Secret scanning ».
  • Seuls les cinq premiers emplacements détectés sont affichés sur GitHub pour les modèles non fournisseurs, et seul le premier emplacement détecté est affiché pour les secrets génériques détectés par l'IA.

Pour que GitHub recherche des motifs non fournisseurs et des secrets génériques, vous devez d'abord activer la fonctionnalités pour votre référentiel ou votre organisation. Pour plus d'informations, consultez Activation de l’analyse du secret des modèles non fournisseurs et Activation de la détection des secrets génériques de l’analyse des secrets de Copilot.

GitHub continuera à publier de nouveaux modèles et types de secrets dans la liste des alertes génériques et les transférera vers la liste par défaut une fois leur fonctionnalité complète (par exemple, lorsqu’ils auront atteint un volume et un taux de faux positifs suffisamment faibles).

Affichage des alertes

Les alertes pour secret scanning s’affichent sous l’onglet Sécurité du référentiel.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.

    Capture d’écran d’un en-tête de dépôt montrant les onglets. L’onglet « Sécurité » est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale gauche, sous « Alertes de vulnérabilité », cliquez sur Secret scanning .

  4. Vous pouvez également basculer vers « Génériques » pour afficher les alertes relatives aux modèles non fournis par le fournisseur ou aux secrets génériques détectés à l’aide de l’IA.

  5. Sous « Secret scanning », cliquez sur l’alerte que vous souhaitez afficher.

    Remarque

    Seules les personnes disposant d’autorisations d’administrateur dans le référentiel contenant un secret divulgué peuvent afficher les détails de l’alerte de sécurité et les métadonnées de jeton pour une alerte. Les propriétaires d’entreprise peuvent demander un accès temporaire au référentiel à cet effet.

Filtrage des alertes

Vous pouvez appliquer différents filtres à la liste des alertes pour vous aider à trouver celles qui vous intéressent. Vous pouvez utiliser les menus déroulants au-dessus de la liste des alertes ou entrer les qualificateurs répertoriés dans la table dans la barre de recherche.

QualificateurDescription
bypassedAffichez les alertes pour les secrets dont la protection d’envoi (push) a été contournée (true). Pour plus d’informations, consultez « À propos de la protection push ».
isAfficher les alertes ouvertes (open), fermées (closed), trouvées dans un référentiel public (publicly-leaked) ou trouvées dans plusieurs référentiels au sein de la même organisation ou entreprise (multi-repository).
propsAffichez les alertes pour les référentiels avec un ensemble de propriétés personnalisées (CUSTOM_PROPERTY_NAME) spécifique. Par exemple, props:data_sensitivity:high affiche les résultats pour les référentiels dont la propriété data_sensitivity est définie sur la valeur high.
providerAffichez les alertes pour un fournisseur spécifique (PROVIDER-NAME), par exemple provider:github. Pour obtenir la liste des partenaires pris en charge, consultez Modèles d’analyse de secrets pris en charge.
repoAffichez les alertes détectées dans un référentiel (REPOSITORY-NAME) spécifié, par exemple : repo:octo-repository.
resolutionAffichez les alertes fermées comme « faux positif » (false-positive), « masquées par la configuration » (hidden-by-config), « modèle supprimé » (pattern-deleted), « modèle modifié » (pattern-edited), « révoquées » (revoked), « utilisées dans les tests » (used-in-tests) ou « à ne pas corriger » (wont-fix).
resultsAffichez les alertes pour les secrets pris en charge et les modèles personnalisés (default), ou pour les modèles non liés à un fournisseur (generic) tels que les clés privées, et les secrets génériques détectés par l’IA, tels que les mots de passe. Consultez Modèles d’analyse de secrets pris en charge et, pour plus d’informations sur les secrets génériques détectés par l’IA, consultez Détection responsable des secrets génériques avec l’analyse des secrets Copilot.
secret-typeAffichez les alertes pour un type de secret spécifique (SECRET-NAME), par exemple secret-type:github_personal_access_token. Pour une liste des types de secret pris en charge, consultez Modèles d’analyse de secrets pris en charge.
sortAffichez les alertes de la plus récente à la plus ancienne (created-desc), de la plus ancienne à la plus récente (created-asc), de la mise à jour la plus récente (updated-desc) à la moins récente (updated-asc).
teamAffichez les alertes appartenant aux membres de l’équipe spécifiée, par exemple : team:octocat-dependabot-team.
topicAffichez les alertes avec le sujet du référentiel correspondant, par exemple : topic:asdf.
validityAffichez les alertes pour les secrets avec une validité spécifique (active, inactive ou unknown). S’applique uniquement aux jetons GitHub, sauf si vous activez les vérifications de validité. Pour plus d’informations sur les statuts de validité, consultez Évaluation des alertes à partir de l’analyse des secrets.

Étapes suivantes