Analyse des secrets avec le serveur MCP GitHub

Le GitHub serveur MCP (Model Context Protocol) vous permet d’exécuter secret scanning directement à partir du GitHub Copilot mode agent, CLI GitHub Copilotet d’autres outils compatibles AVEC MCP. Analysez votre code pour rechercher des clés, des jetons et des informations d’identification exposés pendant que vous travaillez, puis corrigez-les avant de les push.

Les outils d’analyse des secrets sont disponibles uniquement via le GitHub serveur MCP distant. Les configurations de serveur MCP locales ne sont pas prises en charge.

Cela fonctionne avec n’importe quel agent ou IDE compatible MCP, y compris Visual Studio Code, JetBrains, Claude Code, Cursor et Planche à voile. L’expérience varie selon les clients.

Remarque

Les résultats retournés par les analyses invoquées par MCP sont éphémères. Ils sont exposés dans la conversation de votre agent pour la session en cours uniquement et ne sont pas conservés en tant qu’alertes sur GitHub. Cela signifie que ces résultats n’apparaissent pas sous l’onglet Sécurité, dans la secret scanning liste des alertes ou dans les API REST/GraphQL pour les alertes. Les analyses MCP doivent être traitées comme un contrôle de sécurité prédéfini, et non comme un système d’enregistrement. Corrigez les résultats avant qu’ils ne soient envoyés au référentiel et conservés dans l’historique Git.

Prerequisites

          GitHub Secret Protection
          ** est activé pour le référentiel.

          GitHub Le serveur MCP** est connecté dans votre IDE ou agent. Consultez « [AUTOTITLE](/copilot/how-tos/provide-context/use-mcp/set-up-the-github-mcp-server) ».

La configuration de sécurité de votre organisation détermine les types de secrets détectés et si la protection push est appliquée. Les outils MCP respectent la configuration de la protection push de votre organisation (les paramètres de protection push au niveau du référentiel ne sont pas utilisés).

Étape 1 : Installer et configurer des outils

Activer l’ensemble d’outils `secret_protection`

Activez l’ensemble d’outils secret_protection pour rendre les outils d’analyse disponibles pour votre agent. Les ensembles d’outils par défaut ne l’incluent pas.

L’outil run_secret_scanning est actuellement attaché à l’ensemble d’outils copilot plutôt qu’à secret_protection. Vous devez inclure run_secret_scanning explicitement en tant qu’outil supplémentaire en même temps que l’ensemble secret_protection d’outils dans votre configuration MCP.

          CLI GitHub Copilot dispose du GitHub serveur MCP intégré :

copilot mcp --toolsets=secret_protection --tools=run_secret_scanning

Ajoutez l’ensemble d’outils secret_protection et la configuration MCP run_secret_scanning tool à votre configuration MCP :

JSON

{
  "servers": {
    "github": {
      "url": "https://api.githubcopilot.com/mcp/",
      "headers": {
        "X-MCP-Toolsets": "secret_protection",
        "X-MCP-Tools": "run_secret_scanning"
      }
    }
  }
}

{
  "servers": {
    "github": {
      "url": "https://api.githubcopilot.com/mcp/",
      "headers": {
        "X-MCP-Toolsets": "secret_protection",
        "X-MCP-Tools": "run_secret_scanning"
      }
    }
  }
}

Dans votre IDE JetBrains, modifiez la configuration de votre serveur MCP pour inclure l'ensemble d'outils secret_protection et les en-têtes d'outils run_secret_scanning. Pour plus d’informations sur la configuration des serveurs MCP dans JetBrains, consultez mcP Server dans la documentation JetBrains.

JSON

{
  "servers": {
    "github": {
      "type": "http",
      "url": "https://api.githubcopilot.com/mcp/",
      "headers": {
        "GitHub-MCP-Toolsets": "secret_protection",
        "GitHub-MCP-Tools": "run_secret_scanning"
      }
    }
  }
}

{
  "servers": {
    "github": {
      "type": "http",
      "url": "https://api.githubcopilot.com/mcp/",
      "headers": {
        "GitHub-MCP-Toolsets": "secret_protection",
        "GitHub-MCP-Tools": "run_secret_scanning"
      }
    }
  }
}

(Facultatif) Installer le Advanced Security plug-in

Le Advanced Security plugin vous offre une /secret-scanning commande slash pour une expérience d'analyse optimisée dans CLI GitHub Copilot et Visual Studio Code. Le plug-in utilise les outils MCP sous le capot. Vous devrez donc toujours activer l’ensemble secret_protection d’outils.

Instructions pour installer le plug-in :

Pour CLI GitHub Copilot, consultez Recherche et installation de plug-ins pour CLI GitHub Copilot.
Pour Visual Studio Code, consultez Découvrir et installer des plug-ins dans la Visual Studio Code documentation.

Étape 2 : Analyser votre code

Une fois l’ensemble d’outils activé, vous pouvez déclencher une analyse de plusieurs façons en fonction de votre client.

          **Invite en langage naturel**. Dans n’importe quel agent compatible MCP, vous pouvez demander :

« Analysez mes modifications actuelles pour les secrets exposés et affichez-moi les fichiers et les lignes que je devrais mettre à jour avant de valider. »

« Exécuter secret scanning sur les fichiers que j’ai modifiés depuis ma dernière validation et résumer les résultats de haute confiance. »

          **Commande slash (nécessite l'extension Advanced Security)**. Si vous avez installé le plug-in facultatif à l’étape 1, vous pouvez également utiliser :

« /secret-scanning Révisez les différences mises en scène pour les informations d'identification, les clés ou les jetons et proposez des remplacements à l'aide de variables d'environnement. »

          **Appel d’outil direct :** Vous pouvez également appeler l’outil d’analyse directement à partir de votre client.

Exécutez copilot --add-github-mcp-tool run_secret_scanning.

Tapez /secret-scanning dans Discussion avec Copilot.

Dans votre IDE, ouvrez Discussion avec Copilot
Cliquez sur l’onglet Agent
Utilisez une invite telle que : « Analyser mes modifications récentes pour les secrets exposés avant de valider ». Vous pouvez également cliquer sur l’icône outils dans la zone de conversation pour parcourir directement les outils disponibles secret_protection .

L’agent retourne :

Le type de secret trouvé
Fichier et ligne où il a été détecté
Étapes de correction, telles que la suppression ou la rotation des informations d’identification

Si la protection push est activée, le serveur MCP empêche également l’inclusion des secrets dans toutes les actions qu’il effectue en votre nom, telles que les validations, les demandes de tirage (pull request) ou la création de fichiers. Consultez « Utilisation de la protection push et du serveur GitHub MCP ».

Résolution des problèmes

Problème	Vérifier
L’analyse ne retourne aucun résultat	Vérifiez que l’ensemble d’outils `secret_protection` est activé dans votre configuration MCP.
Référentiel non éligible

          Secret scanning via MCP est disponible pour les dépôts publics et doit GitHub Secret Protection être activé pour les référentiels privés et internes. |

| L’agent ne reconnaît pas l’outil | Vérifiez que votre IDE ou agent prend en charge MCP. Consultez « À propos du Model Context Protocol (MCP) ». | | Résultats de détection inattendus | La configuration de sécurité de votre organisation contrôle les modèles analysés. Vérifiez les paramètres de sécurité de votre référentiel. | | L’outil fonctionne dans un client, mais pas dans un autre | L’expérience varie selon les clients compatibles MCP. Consultez la documentation MCP de votre client pour connaître les fonctionnalités prises en charge. |

Lectures complémentaires

Configuration des ensembles d’outils pour le serveur MCP GitHub

Qui peut utiliser cette fonctionnalité ?

Tool navigation

Dans cet article