À propos de la page d'alerte secret scanning
Quand vous activez l’secret scanning pour un dépôt ou que vous poussez des commits sur un dépôt où l’secret scanning est activée, GitHub recherche dans le contenu des secrets qui correspondent aux modèles définis par les fournisseurs de services et à tous les modèles personnalisés définis dans votre entreprise, organisation ou dépôt.
Lorsque secret scanning détecte un secret, GitHub génère une alerte. GitHub affiche une alerte sous l’onglet Sécurité du dépôt.
Pour vous aider à trier les alertes plus efficacement, GitHub sépare les alertes en deux listes :
- Alertes par défaut
- Alertes expérimentales
Liste des alertes par défaut
La liste des alertes par défaut affiche les alertes relatives aux modèles pris en charge et aux modèles personnalisés spécifiés. Il s’agit de la vue principale des alertes.
Liste des alertes expérimentales
La liste des alertes expérimentales affiche les alertes liées à des modèles non fournisseurs (tels que les clés privées). Ces types d'alertes peuvent avoir un taux plus élevé de faux positifs ou de secrets utilisés dans les tests. Vous pouvez basculer vers la liste des alertes expérimentales à partir de la liste des alertes par défaut.
En outre, les alertes qui appartiennent à cette catégorie :
- Sont limitées en quantité à 5 000 alertes par référentiel (cela inclut les alertes ouvertes et fermées).
- Ne sont pas affichés dans les vues récapitulatives de la vue d'ensemble de la sécurité, mais uniquement dans la vue « Secret scanning ».
- Seuls les cinq premiers emplacements détectés sont affichés sur GitHub pour les modèles non fournisseurs.
Pour que GitHub recherche des motifs non fournisseurs, vous devez d'abord activer la fonctionnalité pour votre référentiel ou votre organisation. Pour plus d'informations, consultez Activation de l’analyse du secret des modèles non fournisseurs.
GitHub continuera à publier de nouveaux modèles et types de secrets dans la liste des alertes expérimentales et les transférera vers la liste par défaut une fois leur fonctionnalité complète (par exemple, lorsqu’ils auront atteint un volume et un taux de faux positifs suffisamment faibles).
Affichage des alertes
Les alertes pour secret scanning s’affichent sous l’onglet Sécurité du référentiel.
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom du dépôt, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.
-
Dans la barre latérale gauche, sous « Alertes de vulnérabilité », cliquez sur Secret scanning .
-
Vous pouvez également basculer vers « Expérimentales » pour afficher les alertes relatives aux modèles non fournis par le fournisseur.
-
Sous « Secret scanning », cliquez sur l’alerte que vous souhaitez afficher.
Remarque
Seules les personnes disposant d’autorisations d’administrateur dans le référentiel contenant un secret divulgué peuvent afficher les détails de l’alerte de sécurité et les métadonnées de jeton pour une alerte. Les propriétaires d’entreprise peuvent demander un accès temporaire au référentiel à cet effet.
Filtrage des alertes
Vous pouvez appliquer différents filtres à la liste des alertes pour vous aider à trouver celles qui vous intéressent. Vous pouvez utiliser les menus déroulants au-dessus de la liste des alertes ou entrer les qualificateurs répertoriés dans la table dans la barre de recherche.
| Qualificateur | Description |
|---|---|
bypassed | Affichez les alertes pour les secrets dont la protection d’envoi (push) a été contournée (true). Pour plus d’informations, consultez « À propos de la protection push ». |
is | Afficher les alertes ouvertes (open) ou fermées (closed). |
props | Affichez les alertes pour les référentiels avec un ensemble de propriétés personnalisées (CUSTOM_PROPERTY_NAME) spécifique. Par exemple, props:data_sensitivity:high affiche les résultats pour les référentiels dont la propriété data_sensitivity est définie sur la valeur high. |
provider | Affichez les alertes pour un fournisseur spécifique (PROVIDER-NAME), par exemple provider:github. Pour obtenir la liste des partenaires pris en charge, consultez Modèles d’analyse de secrets pris en charge. |
repo | Affichez les alertes détectées dans un référentiel (REPOSITORY-NAME) spécifié, par exemple : repo:octo-repository. |
resolution | Affichez les alertes fermées comme « faux positif » (false-positive), « masquées par la configuration » (hidden-by-config), « modèle supprimé » (pattern-deleted), « modèle modifié » (pattern-edited), « révoquées » (revoked), « utilisées dans les tests » (used-in-tests) ou « à ne pas corriger » (wont-fix). |
results | Afficher les alertes pour les secrets pris en charge et les modèles personnalisés (default), ou les modèles non fournisseurs tels que les clés privées (experimental). Consultez Modèles d’analyse de secrets pris en charge. |
secret-type | Affichez les alertes pour un type de secret spécifique (SECRET-NAME), par exemple secret-type:github_personal_access_token. Pour une liste des types de secret pris en charge, consultez Modèles d’analyse de secrets pris en charge. |
sort | Affichez les alertes de la plus récente à la plus ancienne (created-desc), de la plus ancienne à la plus récente (created-asc), de la mise à jour la plus récente (updated-desc) à la moins récente (updated-asc). |
team | Affichez les alertes appartenant aux membres de l’équipe spécifiée, par exemple : team:octocat-dependabot-team. |
topic | Affichez les alertes avec le sujet du référentiel correspondant, par exemple : topic:asdf. |
validity | Affichez les alertes pour les secrets avec une validité spécifique (active, inactive ou unknown). Pour plus d’informations sur les statuts de validité, consultez Évaluation des alertes à partir de l’analyse des secrets. |