Cette version de GitHub Enterprise Server n'est plus disponible depuis le 2026-04-09. Aucune publication de correctifs n’est effectuée, même pour les problèmes de sécurité critiques. Pour de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités, effectuez une mise à niveau vers la dernière version de GitHub Enterprise. Pour obtenir de l’aide sur la mise à niveau, contactez le support GitHub Enterprise.

Évaluation des alertes à partir de l’analyse des secrets

Découvrez les fonctionnalités supplémentaires qui peuvent vous aider à évaluer les alertes et hiérarchiser leur correction, par exemple la vérification de la validité d’un secret.

Qui peut utiliser cette fonctionnalité ?

Propriétaires de référentiels, propriétaire d’organisations, gestionnaires de sécurité et utilisateurs avec le rôle d’administrateur

Dans cet article

À propos de l’évaluation des alertes

Certaines fonctionnalités supplémentaires peuvent vous aider à évaluer les alertes afin de mieux les hiérarchiser et les gérer. Vous pouvez:

Vérification de la validité d’un secret

Les contrôles de validité vous aident à classer par ordre de priorité les alertes en vous indiquant quels secrets sont active ou inactive. Un secret active est un secret qui pourrait encore être exploité, de sorte que ces alertes doivent être examinées et corrigées en priorité.

Par défaut, GitHub vérifie la validité des jetons GitHub et affiche l’état de validation du jeton dans l’affichage des alertes.

ValiditéÉtatRésultat
Secret actifactiveGitHub a vérifié auprès du fournisseur de ce secret et a constaté que le secret est actif
Secret éventuellement actifunknownGitHub ne prend pas encore en charge les vérifications de validation pour ce type de jeton
Secret éventuellement actifunknownGitHub n’a pas pu vérifier ce secret
Secret inactifinactiveVous devez vous assurer qu’aucun accès non autorisé n’a déjà eu lieu

Pour plus d’informations sur les modèles partenaires actuellement pris en charge, consultez Modèles de détection de secrets pris en charge.

Vous pouvez utiliser l’API REST pour obtenir une liste indiquant le statut de validation le plus récent pour chacun de vos jetons. Pour plus d’informations, consultez Points de terminaison d’API REST pour l’analyse de secrets dans la documentation de l’API REST. Vous pouvez également utiliser des webhooks pour être informé de l’activité liée à une alerte secret scanning. Pour plus d’informations, consultez l'événement secret_scanning_alert dans Événements et charges utiles du webhook.

Exécution d’un contrôle de validité à la demande

Une fois que vous avez activé les contrôles de validité pour les modèles partenaires de votre dépôt, vous pouvez effectuer un contrôle de validité « à la demande » pour tout secret pris en charge en cliquant sur Vérifier le secret dans la fenêtre des alertes. GitHub envoie le modèle au partenaire concerné et affiche l’état de validation du secret dans la fenêtre d’alerte.

Capture d’écran de l'interface utilisateur montrant une alerte secret scanning. Un bouton intitulé « Vérifier le secret » est mis en évidence par un contour orange.

Examen des métadonnées de jeton GitHub

Remarque

Les métadonnées pour les jetons GitHub sont actuellement en bêta et sont susceptibles d’être modifiées.

Dans la vue d’une alerte de jeton GitHub active, vous pouvez passer en revue certaines métadonnées relatives au jeton. Ces métadonnées peuvent vous aider à identifier le jeton et à déterminer les étapes de correction à prendre.

Les jetons, comme personal access token et d’autres informations d’identification, sont considérés comme des informations personnelles. Pour plus d’informations sur l’utilisation des jetons GitHub, consultez Déclaration de confidentialité et Stratégies d’utilisation acceptable de GitHub.

Capture d’écran de l’interface utilisateur d’un jeton GitHub, montrant les métadonnées de jeton.

Les métadonnées des jetons GitHub sont disponibles pour les jetons actifs dans n’importe quel dépôt où l’analyse des secrets est activée. Si un jeton a été révoqué ou si son état ne peut pas être validé, les métadonnées ne sont pas disponibles. GitHub révoque automatiquement les jetons GitHub dans les dépôts publics, il est donc peu probable que les métadonnées des jetons GitHub dans les dépôts publics soient disponibles. Les métadonnées suivantes sont disponibles pour les jetons GitHub actifs :

MétadonnéesDescriptif
Nom du secretNom donné au jeton GitHub par son créateur
Propriétaire du secretHandle GitHub du propriétaire du jeton
Date de créationDate de création du jeton
A expiré leDate d’expiration du jeton
Dernière utilisation leDate de la dernière utilisation du jeton
AccessSi le jeton dispose ou non d’un accès à l’organisation

Seules les personnes disposant d’autorisations d’administrateur dans le référentiel contenant un secret divulgué peuvent afficher les détails de l’alerte de sécurité et les métadonnées de jeton pour une alerte. Les propriétaires d’entreprise peuvent demander un accès temporaire au référentiel à cet effet. Si l’accès est accordé, GitHub notifie le propriétaire du dépôt contenant le secret divulgué, signale l’action dans les journaux d’audit du propriétaire du dépôt et de l’entreprise, et active l’accès pendant 2 heures.

Étapes suivantes

  •         [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/resolving-alerts)