Cette version de GitHub Enterprise Server ne sera plus disponible le 2026-03-17. Aucune publication de correctifs n’est effectuée, même pour les problèmes de sécurité critiques. Pour de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités, effectuez une mise à niveau vers la dernière version de GitHub Enterprise. Pour obtenir de l’aide sur la mise à niveau, contactez le support GitHub Enterprise.

Surveillance des alertes à partir de l’analyse des secrets

Vous pouvez configurer la manière dont l’secret scanning vous avertit des alertes d’secret scanning et auditer la manière dont votre équipe réagit à ces alertes.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Dans cet article

Lorsque secret scanning détecte une fuite potentielle de secrets dans votre référentiel, il est essentiel de rester informé de ces alertes pour maintenir la sécurité de votre code. GitHub fournit plusieurs canaux de notification pour vous assurer que vous et votre équipe êtes rapidement alertés lorsque des secrets sont trouvés. Vous pouvez personnaliser la façon et le moment où vous recevez ces notifications en fonction de votre rôle et de vos préférences.

Vous pouvez également auditer les réponses à secret scanning alertes pour suivre la façon dont votre équipe gère les problèmes de sécurité et maintenir la conformité avec les stratégies de sécurité de votre organisation.

Configuration des notifications pour les Alertes de détection de secrets

Outre l’affichage d’une alerte dans l’onglet Sécurité du dépôt, GitHub peut également envoyer des notifications par e-mail pour les alertes. Ces notifications sont différentes pour les analyses incrémentielles et les analyses historiques.

Analyses incrémentielles

Quand un nouveau secret est détecté, GitHub avertit tous les utilisateurs ayant accès aux alertes de sécurité pour le référentiel en fonction de leurs préférences de notification. Ces utilisateurs sont les suivants :

  • Administrateurs de dépôts
  • Gestionnaires de sécurité
  • Utilisateurs avec des rôles personnalisés avec accès en lecture/écriture
  • Propriétaires d’organisation et propriétaires d’entreprise, s’ils sont administrateurs de dépôts où des secrets ont fuité

Remarque

Les auteurs d’une validation qui ont accidentellement validé des secrets seront avertis, quelles que soient leurs préférences de notification.

Vous recevrez une notification par e-mail si :

  • Vous surveillez le dépôt.
  • Vous avez activé les notifications pour « Toutes les activités » ou pour les « Alertes de sécurité » personnalisées sur le dépôt.
  • Dans vos paramètres de notification, sous « Abonnements », puis sous « Surveillance », vous avez choisi de recevoir les notifications par e-mail.

  1. Sur GitHub, accédez à la page principale du référentiel.

  2. Pour commencer à surveiller le dépôt, sélectionnez Surveiller.

    Capture d’écran de la page principale du dépôt. Un menu déroulant intitulé « Surveiller » est mis en évidence avec un encadré orange.

  3. Dans le menu déroulant, cliquez sur Toutes les activités. Sinon, pour vous abonner uniquement aux alertes de sécurité, cliquez sur Personnalisé, puis sur Alertes de sécurité.

  4. Accédez aux paramètres de notification de votre compte personnel. Ceux-ci sont disponibles sur https://github.com/settings/notifications.

  5. Dans la page des paramètres de notification, sous « Abonnements », puis sous « Surveillance », sélectionnez la liste déroulante M’avertir.

  6. Sélectionnez « E-mail » comme option de notification, puis cliquez sur Enregistrer.

    Capture d’écran des paramètres de notification pour un compte d’utilisateur. Sous « Abonnements » et « Surveillance », une case à cocher, intitulée « Email », est mise en évidence en orange.

Pour plus d’informations sur la configuration des préférences de notification, consultez Gestion des paramètres de sécurité et d’analyse pour votre dépôt et Configuration de vos paramètres de surveillance pour un référentiel spécifique.

Analyses historiques

Pour les analyses historiques, GitHub notifie les utilisateurs suivants :

  • Les propriétaires d’organisation, les propriétaires d’entreprise et les responsables de la sécurité — chaque fois qu’une analyse historique est terminée, même si aucun secret n’est trouvé.
  • Les administrateurs de dépôts, les responsables de la sécurité et les utilisateurs ayant des rôles personnalisés avec accès en lecture/écriture — chaque fois qu’une analyse historique détecte un secret et en fonction de leurs préférences de notification.

Nous ne notifions pas les auteurs de commit.

Pour plus d’informations sur la configuration des préférences de notification, consultez Gestion des paramètres de sécurité et d’analyse pour votre dépôt et Configuration de vos paramètres de surveillance pour un référentiel spécifique.

Audit des réponses aux alertes d’analyse des secrets

Vous pouvez auditer les actions effectuées en réponse aux alertes secret scanning à l’aide des outils GitHub. Pour plus d’informations, consultez « Audit des alertes de sécurité ».