Choisir GitHub Secret Protection

Découvrez comment GitHub Secret Protection peut vous aider à détecter les secrets dans vos codebases et à éviter les fuites avant qu’elles ne se produisent grâce à des outils de surveillance et de prévention en continu.

Qui peut utiliser cette fonctionnalité ?

GitHub Secret Protection est un ensemble de fonctionnalités au sein de GitHub Advanced Security qui est disponible pour les utilisateurs suivants :

  • Utilisateurs du plan GitHub Team
  • Organisations d’entreprise sur GitHub Enterprise Cloud et GitHub Enterprise Server

Dans cet article

À propos de GitHub Secret Protection

Secret Protection inclut les fonctionnalités suivantes pour vous aider à détecter et à empêcher les fuites de secrets, permettant ainsi une surveillance et une détection continues. Pour plus de détails sur les fonctionnalités et leur disponibilité, consultez GitHub Secret Protection.

  • Secret scanning  : détecter les secrets, par exemple les clés et les jetons, qui ont été archivés dans un référentiel et recevoir des alertes.

  • Protection d’envoi : empêcher les fuites de secrets avant qu’elles ne se produisent en bloquant les commits contenant des secrets.

  • Analyse des secrets Copilot: tirer parti de l’IA pour détecter les informations d’identification non structurées, telles que les mots de passe, qui ont été archivées dans un référentiel.

  • Modèles personnalisés : détecter et empêcher les fuites pour les secrets spécifiques à l’organisation.

  • Contournement délégué pour la protection d’envoi (push) et Rejet d’alerte délégué : implémenter un processus d’approbation pour mieux contrôler qui, dans votre entreprise, peut effectuer des actions sensibles, en prenant en charge la gouvernance à grande échelle.

  • Vue d’ensemble de la sécurité : comprendre la distribution des risques au sein de votre organisation.

De plus, Secret Protection inclut une fonctionnalité d’analyse gratuite, le rapport d’évaluation des risques, pour aider les organisations à comprendre l’empreinte de leurs fuites de secrets sur leur périmètre GitHub.

Pour générer un rapport secret risk assessment, accédez à l'onglet ** Sécurité ** de votre organisation, affichez la page ** Évaluations **, puis cliquez sur Analyser votre organisation.

Secret Protection est facturé par committer actif aux référentiels où il est activé. Il est disponible pour les utilisateurs disposant d’un plan GitHub Team ou GitHub Enterprise, consultez Facturation de licences GitHub Advanced Security.

GitHub fournit deux calculateurs pour vous aider à établir votre budget, justifier l’étendue du déploiement et classer par ordre de priorité les référentiels sur lesquels activer Secret Protection en premier, tout en optimisant l’utilisation des licences. Vous pouvez estimer :

Pourquoi vous devriez activer Secret Protection pour 100 % des référentiels de votre organisation

GitHub recommande d’activer les produits GitHub Secret Protection pour tous les référentiels, afin de protéger votre organisation contre le risque de fuites et d’expositions de secrets. GitHub Secret Protection est gratuit pour les référentiels publics et disponible en tant que module complémentaire payant pour les référentiels privés et internes.

  • Le secret risk assessment gratuit analyse uniquement le code de votre organisation, y compris le code des référentiels archivés. Vous pouvez étendre la surface analysée pour couvrir le contenu des demandes de tirage, des problèmes, des wikis et des GitHub Discussions avec GitHub Secret Protection.. Consultez À propos de l’analyse des secrets.

  • Les secret risk assessment et secret scanning analysent le code qui a déjà été commité dans vos référentiels. Avec la protection d’envoi (push), votre code est analysé à la recherche de secrets avant que les commits ne soient enregistrés sur GitHub, pendant le processus d’envoi, et l’envoi est bloqué si des secrets sont détectés. Consultez À propos de la protection push.

  • Si vous disposez d’un ou plusieurs modèles de secrets internes à votre organisation, ceux-ci ne seront pas détectés par les modèles par défaut pris en charge par secret scanning. Vous pouvez définir **des modèles personnalisés ** qui ne sont valables que dans votre organisation, et étendre les capacités de secret scanning pour détecter ces modèles. Consultez Définition de modèles personnalisés pour l’analyse des secrets.

  • Le fait de savoir quels secrets pourraient être exploités permet d’établir facilement un ordre de priorité pour la correction des fuites de secrets détectées par secret scanning. Les contrôles de validité vous indiquent si un secret actif est susceptible d’être exploité. Ces alertes doivent donc être vérifiées et corrigées en priorité. Consultez Activation des vérifications de validité pour votre référentiel.

  • Il se peut également que vous souhaitiez détecter les fuites de secrets non structurés tels que les mots de passe. C’est possible grâce à nos Analyse des secrets Copilot basés sur l’IA. Consultez Détection responsable des secrets génériques avec l’analyse des secrets Copilot.

  • La visualisation de la prévention, de la détection et de la correction des données de sécurité est essentielle pour comprendre où concentrer les efforts et où les initiatives de sécurité ont un impact. La vue d’ensemble de la sécurité vous permet d’examiner en détail l’état actuel de vos codebases au niveau de l’organisation et de l’entreprise. Consultez À propos de la vue d’ensemble de la sécurité.

En plus de détecter et d’empêcher les fuites de secrets, vous devriez envisager d'intégrer la sécurité des codes dans tous les flux de travail de votre organisation afin de sécuriser votre chaîne logistique logicielle. Consultez À propos de la sécurité de la chaîne d’approvisionnement.

Si vous avez besoin d’aide pour évaluer vos besoins ou vos options en matière de sécurité, contactez l’Équipe des ventes de GitHub.

Vous pouvez également tester gratuitement GitHub Advanced Security pour évaluer vos besoins. Consultez Planification d’un essai de GitHub Advanced Security.

Activation de Secret Protection

Vous pouvez rapidement activer les fonctionnalités de sécurité à grande échelle avec the GitHub-recommended security configuration, une collection de paramètres d’activation de sécurité que vous pouvez appliquer aux référentiels d’une organisation. Vous pouvez ensuite personnaliser davantage les fonctionnalités de Advanced Security au niveau de l’organisation avec global settings. Consultez À propos de l'activation des fonctionnalités de sécurité à grande échelle.

Security configurations peut être appliqué au niveau de l’entreprise et de l’organisation. Vous pouvez également configurer des paramètres de sécurité supplémentaires pour votre organisation. Ces paramètres, appelés global settings, sont ensuite hérités par tous les référentiels de l'organisation. Avec global settings, vous pouvez personnaliser la manière dont les fonctionnalités de sécurité analysent votre organisation. Consultez Configuration des paramètres de sécurité globaux pour votre organisation.

De plus, les administrateurs du référentiel peuvent activer des fonctionnalités de sécurité au niveau du référentiel.

Activation de Secret Protection à partir de secret risk assessment

  1. Sur GitHub, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Sécurité.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de bouclier et le texte « Sécurité », est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale, sous « Sécurité », cliquez sur Évaluations.

  4. Cliquez sur le menu déroulant Activer la protection par mot de passe dans l’affichage de la bannière, puis sélectionnez l’une des options pour activer la fonctionnalité dans les référentiels de votre organisation.

    • Pour les référentiels publics gratuits : cliquez pour activer les référentiels publics uniquement dans votre organisation.

    • Pour tous les référentiels : cliquez sur Activer la protection des secrets pour activer à la fois secret scanning et la protection d’envoi (push) pour tous les référentiels de votre organisation, au coût estimé affiché. Des frais d’utilisation vous seront facturés ou vous devrez acheter des licences GitHub Secret Protection.

      Vous pouvez également cliquer sur Configurer dans les paramètres pour personnaliser les référentiels pour lesquels vous souhaitez activer Secret Protection. Consultez Application de la configuration de sécurité recommandée par GitHub dans votre organisation and Création d’une configuration de sécurité personnalisée.