Surveillance des alertes à partir de l’analyse des secrets

Découvrez comment et quand GitHub Enterprise Server vous avertit d’une alerte d’analyse des secrets.

Qui peut utiliser cette fonctionnalité ?

Secret scanning est disponible pour les référentiels détenus par l’organisation dans GitHub Enterprise Server si votre entreprise dispose d’une licence pour GitHub Advanced Security. Pour plus d’informations, consultez « À propos des alertes d’analyse des secrets » et « À propos de GitHub Advanced Security ».

Dans cet article

Configuration des notifications pour les Alertes d’analyse de secrets

Outre l’affichage d’une alerte sous l’onglet Sécurité du référentiel, GitHub Enterprise Server peut également envoyer des notifications par e-mail pour les alertes. Ces notifications sont différentes pour les analyses incrémentielles et les analyses historiques.

Analyses incrémentielles

Quand un nouveau secret est détecté, GitHub Enterprise Server avertit tous les utilisateurs ayant accès aux alertes de sécurité pour le dépôt en fonction de leurs préférences de notification. Ces utilisateurs sont les suivants :

  • Administrateurs de dépôts
  • Gestionnaires de sécurité
  • Utilisateurs avec des rôles personnalisés avec accès en lecture/écriture
  • Propriétaires d’organisation et propriétaires d’entreprise, s’ils sont administrateurs de dépôts où des secrets ont fuité

Note

Les auteurs d’une validation qui ont accidentellement validé des secrets seront avertis, quelles que soient leurs préférences de notification.

Vous recevrez une notification par e-mail si :

  • Vous surveillez le dépôt.
  • Vous avez activé les notifications pour « Toutes les activités » ou pour les « Alertes de sécurité » personnalisées sur le dépôt.
  • Dans vos paramètres de notification, sous « Abonnements », puis sous « Surveillance », vous avez choisi de recevoir les notifications par e-mail.

  1. Dans votre instance GitHub Enterprise Server, accédez à la page principale du dépôt.

  2. Pour commencer à surveiller le dépôt, sélectionnez Surveiller.

    Capture d’écran de la page principale du dépôt. Un menu déroulant intitulé « Surveiller » est mis en évidence avec un encadré orange.

  3. Dans le menu déroulant, cliquez sur Toutes les activités. Sinon, pour vous abonner uniquement aux alertes de sécurité, cliquez sur Personnalisé, puis sur Alertes de sécurité.

  4. Accédez aux paramètres de notification de votre compte personnel. Ceux-ci sont disponibles sur https://github.com/settings/notifications.

  5. Dans la page des paramètres de notification, sous « Abonnements », puis sous « Surveillance », sélectionnez la liste déroulante M’avertir.

  6. Sélectionnez « E-mail » comme option de notification, puis cliquez sur Enregistrer.

    Capture d’écran des paramètres de notification pour un compte d’utilisateur. Un en-tête d’élément, intitulé « Abonnements », et un sous-en-tête, intitulé « Surveillance », sont présentés. Une case à cocher, intitulée « E-mail », est mise en évidence avec un contour orange.

Pour plus d’informations sur la configuration des préférences de notification, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « Configuration de vos paramètres de surveillance pour un dépôt spécifique ».

Analyses historiques

Pour les analyses historiques, GitHub Enterprise Server notifie les utilisateurs suivants :

  • Les propriétaires d’organisation, les propriétaires d’entreprise et les responsables de la sécurité — chaque fois qu’une analyse historique est terminée, même si aucun secret n’est trouvé.
  • Les administrateurs de dépôts, les responsables de la sécurité et les utilisateurs ayant des rôles personnalisés avec accès en lecture/écriture — chaque fois qu’une analyse historique détecte un secret et en fonction de leurs préférences de notification.

Nous ne notifions pas les auteurs de commit.

Pour plus d’informations sur la configuration des préférences de notification, consultez « Gestion des paramètres de sécurité et d’analyse pour votre dépôt » et « Configuration de vos paramètres de surveillance pour un dépôt spécifique ».

Audit des réponses aux alertes d’analyse des secrets

Vous pouvez auditer les actions effectuées en réponse aux alertes secret scanning à l’aide des outils GitHub. Pour plus d’informations, consultez « Audit des alertes de sécurité ».