Contourner les demandes de protection push

Découvrez comment fonctionnent les demandes de contournement lorsque la protection push bloque les validations contenant des secrets.

Qui peut utiliser cette fonctionnalité ?

  • Propriétaires de l’organisation
  • Gestionnaires de sécurité
  • Les utilisateurs des équipes, des rôles par défaut ou des rôles personnalisés qui ont été ajoutés à la liste de contournement.
  • Utilisateurs auxquels un rôle personnalisé est attribué avec l’autorisation affinée « vérifier et gérer les secret scanning requêtes de dérogation ».

Dans cet article

À propos des demandes de contournement pour la protection par push

Lorsque la protection push bloque une validation contenant un secret, les contributeurs peuvent avoir besoin de contourner le bloc pour terminer leur envoi. Si le contournement délégué pour la protection Push est activé, les contributeurs sans privilèges de contournement doivent envoyer une demande de contournement et attendre l’approbation des réviseurs désignés. Cela permet aux organisations de maintenir la surveillance de la sécurité tout en activant des exceptions légitimes si nécessaire. Pour plus d’informations, consultez « Contournement délégué pour la protection contre les poussées ».

Si le contournement délégué pour la protection Push n’est pas activé, les contributeurs peuvent contourner la protection Push à leur propre discrétion.

Lors de l’activation d’un contournement délégué pour la protection Push, les propriétaires d’organisations ou les administrateurs de référentiel décident des personnes, des rôles ou des équipes qui peuvent passer en revue (approuver ou refuser) les demandes de contournement de la protection Push.

Si vous êtes un réviseur désigné, vous devez passer en revue les demandes de contournement et les approuver ou les refuser en fonction des détails de la demande et des stratégies de sécurité de votre organisation.

Fonctionnement des requêtes de contournement

Lorsqu’un contributeur sans privilèges de contournement demande à mettre en place un commit contenant un secret, une requête de contournement est envoyée aux examinateurs. Groupe désigné de réviseurs :

  • Reçoit une notification par e-mail contenant un lien vers la demande
  • Examine la demande dans la page « Ignorer les demandes » du référentiel ou dans la vue d’ensemble de la sécurité de l’organisation.
  • A 7 jours pour approuver ou refuser la demande avant l’expiration de la demande

Informations disponibles pour les réviseurs

GitHub affiche les informations suivantes pour chaque requête :

  • Nom de l’utilisateur qui a tenté d’envoyer (push)
  • Dépôt où l’envoi (push) a été tenté
  • Hash du commit envoyé
  • Horodatage de l’envoi (push)
  • Chemin d’accès de fichier et informations de branche (les informations de branche ne sont disponibles que pour les actions de push vers une seule branche)

Résultats

Le contributeur est averti par e-mail de la décision et doit prendre l’action requise :

  • Si la demande est approuvée : le contributeur peut pousser le commit contenant le secret vers le référentiel.
  • Si la demande est refusée : le contributeur doit supprimer le secret de la validation avant de transmettre correctement la validation au référentiel.

Révisions automatiques des demandes de contournement

Vous pouvez utiliser GitHub Apps avec des autorisations affinées pour passer en revue et approuver par programme les demandes de contournement de protection Push. Cela vous permet d’appliquer des stratégies de sécurité cohérentes, d’intégrer à des outils de sécurité externes ou de réduire la charge de révision manuelle.

Pour plus d’informations sur les autorisations, consultez Autorisations de l’organisation pour « Demandes de contournement de l’organisation pour l’analyse des secrets ».

Étapes suivantes