À propos des alertes d’analyse des secrets

À propos des types d’alertes

Il existe trois types de Alertes de détection de secrets:

•         **
          Alertes utilisateur :** signalées aux utilisateurs sous l’onglet **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** du référentiel, lorsqu’un secret pris en charge est détecté dans le référentiel.
  

•         **Alertes de protection Push :** Signalé aux utilisateurs sous l’onglet **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** du référentiel, lorsqu’un contributeur contourne la protection Push. 
  

•         **Alertes de partenaire :** Signalées directement aux fournisseurs secrets qui font partie du secret scanningprogramme de partenariat. Ces alertes ne sont pas signalées sous l’onglet **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** du référentiel.
  

À propos des alertes utilisateur

          Quand vous activez l’secret scanning pour un dépôt ou que vous poussez des commits sur un dépôt où l’secret scanning est activée, GitHub recherche dans le contenu des secrets qui correspondent aux modèles définis par les fournisseurs de services et à tous les modèles personnalisés définis dans votre entreprise, organisation ou dépôt.
          
          Lorsque secret scanning détecte un secret, GitHub génère une alerte.
          GitHub affiche une alerte sous l’onglet **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** du référentiel.
        

Pour vous aider à trier les alertes de manière plus efficace, GitHub sépare les alertes en deux listes :

•         **Alertes par défaut**
  

•         **Alertes génériques**
  

Liste des alertes par défaut

La liste des alertes par défaut affiche les alertes relatives aux modèles pris en charge et aux modèles personnalisés spécifiés. Il s’agit de la vue principale des alertes.

          Liste des alertes génériques

La liste des alertes expérimentalesaffiche des alertes qui concernent des modèles non fournisseurs (tels que des clés privées) ou des secrets génériques détectés à l’aide de l’IA (par exemple, des mots de passe). Ces types d'alertes peuvent avoir un taux plus élevé de faux positifs ou de secrets utilisés dans les tests. Vous pouvez basculer vers la liste des alertes expérimentalesà partir de la liste des alertes par défaut.

          GitHubcontinuera à publier de nouveaux modèles et types de secrets dans la liste des alertes expérimentales génériques et les promouvra à la liste par défaut lorsque leur fonctionnalité sera complète (autrement dit, lorsque le volume et le taux de faux positifs seront suffisamment faibles).

En outre, les alertes qui appartiennent à cette catégorie :

• Sont limitées en quantité à 5 000 alertes par référentiel (cela inclut les alertes ouvertes et fermées).
• Ne sont pas affichés dans les vues récapitulatives pour la vue d’ensemble de la sécurité, uniquement dans la vue «Secret scanning ».
• Seuls les cinq premiers emplacements détectés sont affichés sur GitHub pour les schémas non fournisseurs, et seul le premier emplacement détecté est affiché pour les secrets génériques détectés par l'IA.

Pour GitHub rechercher des modèles non-fournisseurs et des secrets génériques, vous devez d’abord activer les fonctionnalités de votre référentiel ou organisation. Pour plus d’informations, consultez Activation de l’analyse du secret pour les modèles non fournisseurs et Activation de la détection générique de secrets de Copilot Secret Scanning.

Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.

À propos des alertes de protection des poussées

La protection des pushes analyse les pushes à la recherche de secrets pris en charge. Si la protection des pushes détecte un secret pris en charge, le push est bloqué. Lorsqu’un contributeur contourne la protection Push pour envoyer un secret au référentiel, une alerte de protection Push est générée et affichée sous l’onglet Security and quality du référentiel. Pour afficher toutes les alertes de protection des pushes d’un dépôt, vous devez filtrer par bypassed: true sur la page des alertes. Pour plus d’informations, consultez « Affichage et filtrage des alertes à partir de l’analyse des secrets ».

Si l’accès à une ressource nécessite des informations d’identification jumelées, l’analyse des secrets crée une alerte uniquement lorsque les deux composants de la paire sont détectées dans le même fichier. De cette façon, les fuites les plus critiques ne sont pas masquées derrière des informations sur des fuites partielles. La création de paires permet également de réduire les faux positifs, car les deux éléments d’une paire doivent être utilisés ensemble pour accéder à la ressource du fournisseur.

          Vous pouvez également activer la protection Push pour votre compte personnel, appelée « Protection push pour les utilisateurs », ce qui vous empêche d’envoyer accidentellement des secrets pris en charge vers _n’importe quel_ dépôt public. 

          _Aucune_ alerte n’est créée si vous choisissez uniquement de contourner la protection des pushes au niveau de votre compte utilisateur. Des alertes ne sont créées que si la protection des pushes est activée au niveau du référentiel lui-même. Pour plus d’informations, consultez [AUTOTITLE](/code-security/secret-scanning/working-with-secret-scanning-and-push-protection/push-protection-for-users).

          Les versions antérieures de certains jetons peuvent ne pas être prises en charge par la protection des poussées, car ces jetons peuvent générer un nombre plus élevé de faux positifs que leur version la plus récente. La protection des poussées peut également ne pas s’appliquer aux jetons hérités. Pour les jetons tels que les clés de stockage Azure, GitHub prend uniquement en charge les jetons _récemment créés_, pas les jetons qui correspondent aux modèles hérités. Pour plus d’informations sur les limitations de protection Push, consultez [AUTOTITLE](/code-security/how-tos/secure-your-secrets/troubleshooting-secret-scanning#push-protection-and-pattern-versions).

À propos des alertes de partenaire

Lorsque GitHub détecte un secret fuité dans un dépôt public ou un package npm, une alerte est envoyée directement au fournisseur de secrets, s'il fait partie du programme de partenariat en analyse des secrets de GitHub. Pour plus d’informations sur alertes d’analyse des secrets pour les partenaires, consultez Programme de partenariat d’analyse des secrets et Modèles de détection de secrets pris en charge.

Les alertes partenaires ne sont pas envoyées aux administrateurs du dépôt ; aucune action n’est donc requise pour ce type d’alerte.

Lectures complémentaires

•         [AUTOTITLE](/code-security/reference/secret-security/supported-secret-scanning-patterns)
  

•         [AUTOTITLE](/code-security/how-tos/secure-your-secrets/detect-secret-leaks/enabling-secret-scanning-for-non-provider-patterns)