À propos de l’évaluation des alertes
Certaines fonctionnalités supplémentaires peuvent vous aider à évaluer les alertes afin de mieux les hiérarchiser et les gérer. Vous pouvez:
- Vérifier la validité d’un secret pour voir s’il est toujours actif. Consultez Vérification de la validité d’un secret.
- Effectuer un contrôle de validité « à la demande » pour obtenir le statut de validation le plus à jour. Consultez Effectuer une vérification de validité à la demande.
- Passer en revue les métadonnées d'un jeton. S’applique uniquement aux GitHub jetons. Par exemple, pour voir quand le jeton a été utilisé pour la dernière fois. Consultez Révision des GitHub métadonnées de jeton.
Vérification de la validité d’un secret
Les contrôles de validité vous aident à classer par ordre de priorité les alertes en vous indiquant quels secrets sont active ou inactive. Un secret active est un secret qui pourrait encore être exploité, de sorte que ces alertes doivent être examinées et corrigées en priorité.
Par défaut, GitHub vérifie la validité des jetons et affiche l’état de GitHub validation du jeton dans la vue d’alerte.
Les organisations utilisant GitHub Team, GitHub Enterprise Cloud avec une licence pour GitHub Secret Protection, ou GitHub Enterprise Server avec une licence pour GitHub Secret Protection peuvent également activer les vérifications de validité pour les modèles partenaires. Pour plus d’informations, consultez Vérification de la validité d’un secret.
| Validité | État | Résultat |
|---|---|---|
| Secret actif | active | GitHub a vérifié auprès du fournisseur de ce secret et a constaté que le secret est actif |
| Secret éventuellement actif | unknown | GitHub ne prend pas encore en charge les vérifications de validation pour ce type de jeton |
| Secret éventuellement actif | unknown | GitHub n’a pas pu vérifier ce secret |
| Secret inactif | inactive | Vous devez vous assurer qu’aucun accès non autorisé n’a déjà eu lieu |
Les vérifications de validité des modèles partenaires sont disponibles pour les types de référentiels suivants :
- Les dépôts appartenant à une organisation sur GitHub Enterprise Server avec GitHub Secret Protection activé
Pour plus d’informations sur l’activation des vérifications de validité pour les modèles de partenaires, consultez Activer les vérifications de validité pour votre référentiel et pour plus d’informations sur les modèles de partenaires actuellement pris en charge, consultez Modèles de détection de secrets pris en charge.
Vous pouvez activer les vérifications de validité des modèles partenaires à l’aide de configurations de sécurité, définies au niveau de l’entreprise ou au niveau de l’organisation. Voir Création d’une configuration de sécurité personnalisée pour votre entreprise et Création d’une configuration de sécurité personnalisée.
Pour plus d’informations sur les modèles partenaires actuellement pris en charge, consultez Modèles de détection de secrets pris en charge.
Vous pouvez utiliser l’API REST pour obtenir une liste indiquant le statut de validation le plus récent pour chacun de vos jetons. Pour plus d’informations, consultez Points de terminaison d’API REST pour l’analyse de secrets dans la documentation de l’API REST. Vous pouvez également utiliser des webhooks pour être informé de l’activité liée à une secret scanning alerte. Pour plus d’informations, consultez l'événement secret_scanning_alert dans Événements et charges utiles du webhook.
Exécution d’un contrôle de validité à la demande
Une fois que vous avez activé les vérifications de validité des modèles partenaires pour votre référentiel, vous pouvez effectuer une vérification de validité « à la demande » pour tout secret pris en charge en cliquant sur Vérifier le secret dans la vue d’alerte. GitHub envoie le modèle au partenaire approprié et affiche l’état de validation du secret dans la vue d’alerte.
Examen des métadonnées de GitHub jeton
Remarque
Les métadonnées pour les GitHub jetons sont actuellement dans préversion publique et sont sujettes à modification.
Dans la vue d’une alerte de jeton actif GitHub , vous pouvez passer en revue certaines métadonnées sur le jeton. Ces métadonnées peuvent vous aider à identifier le jeton et à déterminer les étapes de correction à prendre.
Les jetons, comme personal access token et d’autres informations d’identification, sont considérés comme des informations personnelles. Pour plus d'informations sur l’utilisation des jetons GitHub, consultez la Déclaration de confidentialité de GitHub et les Politiques d’utilisation acceptable.
Les métadonnées des tokens GitHub sont disponibles pour les tokens actifs de tout référentiel pour lequel l’analyse des secrets est activée. Si un jeton a été révoqué ou si son état ne peut pas être validé, les métadonnées ne sont pas disponibles. GitHub révoque automatiquement des jetons GitHub dans des référentiels publics. Les métadonnées pour GitHub les jetons dans les référentiels publics sont donc peu susceptibles d’être disponibles. Les métadonnées suivantes sont disponibles pour les jetons actifs GitHub :
| Métadonnées | Descriptif |
|---|---|
| Nom du secret | Nom donné au GitHub jeton par son créateur |
| Propriétaire du secret | L’identifiant GitHub du propriétaire du jeton |
| Date de création | Date de création du jeton |
| A expiré le | Date d’expiration du jeton |
| Dernière utilisation le | Date de la dernière utilisation du jeton |
| Access | Si le jeton dispose ou non d’un accès à l’organisation |
Seules les personnes disposant d’autorisations d’administrateur dans le référentiel contenant un secret divulgué peuvent afficher les détails de l’alerte de sécurité et les métadonnées de jeton pour une alerte. Les propriétaires d’entreprise peuvent demander un accès temporaire au référentiel à cet effet. Si l’accès est accordé, GitHub avertira le propriétaire du dépôt contenant le secret divulgué, consignera l’action dans les journaux d’audit du propriétaire du dépôt et de l’entreprise, et activera l’accès pendant 2 heures.