À propos de l’analyse des secrets

Empêchez l’utilisation frauduleuse de vos secrets en détectant automatiquement les informations d’identification exposées avant qu’elles ne puissent être exploitées.

Dans cet article

Lorsque les informations d’identification telles que les clés d’API et les mots de passe sont validées dans les référentiels, elles deviennent des cibles pour un accès non autorisé. Secret scanning détecte automatiquement ces secrets exposés pour que vous puissiez les sécuriser avant qu’ils ne soient exploités.

Comment l’analyse des secrets protège votre code

Secret scanning analyse l’intégralité de votre historique Git sur toutes les branches de votre référentiel pour les clés API, les mots de passe, les jetons et d’autres types de secrets connus. GitHub réanalyse régulièrement les dépôts lorsque de nouveaux types de secrets sont ajoutés.

GitHub analyse également automatiquement :

Secret scanning alertes et corrections

Lorsque secret scanning trouve un secret potentiel, GitHub génère une alerte sous l’onglet Sécurité de votre référentiel avec des détails sur les informations d’identification exposées.

Passez en revue l’alerte et faites pivoter immédiatement les informations d’identification affectées pour vous assurer qu’elle ne peut plus être utilisée. Bien que vous puissiez également supprimer des secrets de votre historique Git, cela est fastidieux et souvent inutile si vous avez déjà révoqué les informations d’identification.

Personnalisabilité

Au-delà de la détection par défaut des secrets du partenaire et du fournisseur, vous pouvez développer et personnaliser secret scanning pour répondre à vos besoins.

  •         **Schémas non fournisseurs.** Développez la détection vers des secrets qui ne sont pas liés à un fournisseur de services spécifique, tels que des clés privées, des chaînes de connexion et des clés API génériques.

  •         **Modèles personnalisés.** Définissez vos propres expressions régulières pour détecter les secrets spécifiques à l’organisation qui ne sont pas couverts par les modèles par défaut.

  •         **Vérifications de validité.** Hiérarchiser la correction en vérifiant si les secrets détectés sont toujours actifs.

Comment puis-je accéder à cette fonctionnalité ?

Prochaines étapes

  •         **Si vous avez reçu une alerte**, consultez [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning) pour savoir comment passer en revue, résoudre et corriger les secrets exposés.

Lectures complémentaires