À propos de la page d'alerte secret scanning
Quand vous activez l’secret scanning pour un dépôt ou que vous poussez des commits sur un dépôt où l’secret scanning est activée, GitHub recherche dans le contenu des secrets qui correspondent aux modèles définis par les fournisseurs de services et à tous les modèles personnalisés définis dans votre entreprise, organisation ou dépôt.
Lorsque secret scanning détecte un secret, GitHub génère une alerte. GitHub affiche une alerte sous l’onglet Sécurité du dépôt.
Pour vous aider à trier les alertes plus efficacement, GitHub sépare les alertes en deux listes :
- Alertes à haut niveau de confiance.
- Alertes Autres.
Liste des alertes à haut niveau de confiance
La liste des alertes « à haut niveau de confiance » affiche les alertes relatives aux modèles pris en charge et aux modèles personnalisés spécifiés. Cette liste est toujours l'affichage par défaut de la page alertes.
Liste des alertes Autres
La liste des alertes « Autres » affiche des alertes qui concernent des modèles non fournisseurs (tels que des clés privées). Ces types d'alertes ont un taux plus élevé de faux positifs.
En outre, les alertes qui appartiennent à cette catégorie :
- Sont limitées en quantité à 5 000 alertes par référentiel (cela inclut les alertes ouvertes et fermées).
- Ne sont pas affichés dans les vues récapitulatives de la vue d'ensemble de la sécurité, mais uniquement dans la vue « Secret scanning ».
- Seuls les cinq premiers emplacements détectés sont affichés sur GitHub pour les modèles non fournisseurs.
Pour que GitHub recherche des motifs non fournisseurs, vous devez d'abord activer la fonctionnalité pour votre référentiel ou votre organisation. Pour plus d'informations, consultez Activation de l’analyse du secret des modèles non fournisseurs.
Affichage des alertes
Les alertes pour secret scanning s’affichent sous l’onglet Sécurité du référentiel.
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.
-
Dans la barre latérale gauche, sous « Alertes de vulnérabilité », cliquez sur Secret scanning .
-
Vous pouvez également basculer vers « Autres » pour afficher les alertes relatives aux modèles non fournis par le fournisseur.
-
Sous « Secret scanning », cliquez sur l’alerte que vous souhaitez afficher.
Remarque
Seules les personnes disposant d’autorisations d’administrateur dans le référentiel contenant un secret divulgué peuvent afficher les détails de l’alerte de sécurité et les métadonnées de jeton pour une alerte. Les propriétaires d’entreprise peuvent demander un accès temporaire au référentiel à cet effet.
Filtrage des alertes
Vous pouvez appliquer différents filtres à la liste des alertes pour vous aider à trouver celles qui vous intéressent. Vous pouvez utiliser les menus déroulants au-dessus de la liste des alertes ou entrer les qualificateurs répertoriés dans la table dans la barre de recherche.
| Qualificateur | Description |
|---|---|
bypassed | Affichez les alertes pour les secrets dont la protection d’envoi (push) a été contournée (true). Pour plus d’informations, consultez « À propos de la protection push ». |
confidence | Affichez les alertes pour les secrets à haute confiance liés à des secrets pris en charge et à des modèles personnalisés (high), ou à des modèles non fournisseurs tels que les clés privées (other). Consultez Modèles d’analyse de secrets pris en charge. |
is | Afficher les alertes ouvertes (open) ou fermées (closed). |
props | Affichez les alertes pour les référentiels avec un ensemble de propriétés personnalisées (CUSTOM_PROPERTY_NAME) spécifique. Par exemple, props:data_sensitivity:high affiche les résultats pour les référentiels dont la propriété data_sensitivity est définie sur la valeur high. |
provider | Affichez les alertes pour un fournisseur spécifique (PROVIDER-NAME), par exemple provider:github. Pour obtenir la liste des partenaires pris en charge, consultez Modèles d’analyse de secrets pris en charge. |
repo | Affichez les alertes détectées dans un référentiel (REPOSITORY-NAME) spécifié, par exemple : repo:octo-repository. |
resolution | Affichez les alertes fermées comme « faux positif » (false-positive), « masquées par la configuration » (hidden-by-config), « modèle supprimé » (pattern-deleted), « modèle modifié » (pattern-edited), « révoquées » (revoked), « utilisées dans les tests » (used-in-tests) ou « à ne pas corriger » (wont-fix). |
secret-type | Affichez les alertes pour un type de secret spécifique (SECRET-NAME), par exemple secret-type:github_personal_access_token. Pour une liste des types de secret pris en charge, consultez Modèles d’analyse de secrets pris en charge. |
sort | Affichez les alertes de la plus récente à la plus ancienne (created-desc), de la plus ancienne à la plus récente (created-asc), de la mise à jour la plus récente (updated-desc) à la moins récente (updated-asc). |
team | Affichez les alertes appartenant aux membres de l’équipe spécifiée, par exemple : team:octocat-dependabot-team. |
topic | Affichez les alertes avec le sujet du référentiel correspondant, par exemple : topic:asdf. |
validity | Affichez les alertes pour les secrets avec une validité spécifique (active, inactive ou unknown). Pour plus d’informations sur les statuts de validité, consultez Évaluation des alertes à partir de l’analyse des secrets. |