À propos de l’évaluation des alertes
Certaines fonctions supplémentaires peuvent vous aider à évaluer les alertes afin de mieux les hiérarchiser et les gérer. Vous pouvez :
- Vérifiez la validité d'un secret, pour voir s'il est toujours actif. Applique uniquement aux jetons GitHub. Pour plus d'informations, consultez « Vérification de la validité d'un secret »
- Passez en revue les métadonnées d'un jeton. S'applique uniquement aux jetons GitHub. Par exemple, pour voir quand le jeton a été utilisé pour la dernière fois. Pour plus d'information, consultez « Examen des métadonnées de jeton GitHub ».
Vérification de la validité d'un secret
Les vérifications de validité vous aident à classer par ordre de priorité les alertes en vous indiquant quels secrets sont active ou inactive. Un secret active est un secret qui pourrait encore être exploité, de sorte que ces alertes doivent être examinées et corrigées comme une priorité.
Par défaut, GitHub vérifie la validité des jetons GitHub et affiche l’état de validation du jeton dans l’affichage des alertes.
| Validité | État | Result |
|---|---|---|
| Secret actif | active | GitHub a vérifié auprès du fournisseur de ce secret et a constaté que le secret est actif |
| Secret éventuellement actif | unknown | GitHub ne prend pas encore en charge les vérifications de validation pour ce type de jeton |
| Secret éventuellement actif | unknown | GitHub n’a pas pu vérifier ce secret |
| Secret inactif | inactive | Vous devez vous assurer qu’aucun accès non autorisé n’a déjà eu lieu |
Vous pouvez utiliser l’API REST pour récupérer une liste indiquant le statut de validation le plus récent pour chacun de vos jetons. Pour plus d'informations, consultez « Points de terminaison d’API REST pour l’analyse de secrets » dans la documentation de l'API REST. Vous pouvez également utiliser des webhooks pour être informé de l’activité liée à une alerte secret scanning. Pour plus d’informations, consultez l’événement secret_scanning_alert dans « Événements et charges utiles du webhook ».
Examen des métadonnées de jeton GitHub
Note
Les métadonnées des jetons GitHub sont actuellement en version bêta publique et sont susceptibles d’être modifiées.
Dans la vue d’une alerte de jeton GitHub active, vous pouvez passer en revue certaines métadonnées relatives au jeton. Ces métadonnées peuvent vous aider à identifier le jeton et à déterminer les étapes de correction à prendre.
Les jetons, comme personal access token et d’autres informations d’identification, sont considérés comme des informations personnelles. Pour plus d’informations sur l’utilisation des jetons GitHub, consultez Déclaration de confidentialité et Stratégies d’utilisation acceptable de GitHub.
Les métadonnées des jetons GitHub sont disponibles pour les jetons actifs dans n’importe quel dépôt où l’analyse des secrets est activée. Si un jeton a été révoqué ou si son état ne peut pas être validé, les métadonnées ne sont pas disponibles. GitHub révoque automatiquement les jetons GitHub dans les dépôts publics, il est donc peu probable que les métadonnées des jetons GitHub dans les dépôts publics soient disponibles. Les métadonnées suivantes sont disponibles pour les jetons GitHub actifs :
| Métadonnées | Description |
|---|---|
| Nom du secret | Nom donné au jeton GitHub par son créateur |
| Propriétaire du secret | Handle GitHub du propriétaire du jeton |
| Créé le | Date de création du jeton |
| A expiré le | Date d’expiration du jeton |
| Dernière utilisation le | Date de la dernière utilisation du jeton |
| Accès | Si le jeton dispose ou non d’un accès à l’organisation |
Seules les personnes disposant d’autorisations d’administrateur dans le référentiel contenant un secret divulgué peuvent afficher les détails de l’alerte de sécurité et les métadonnées de jeton pour une alerte. Les propriétaires d’entreprise peuvent demander un accès temporaire au référentiel à cet effet. Si l’accès est accordé, GitHub avertit le propriétaire du référentiel contenant le secret divulgué, reportez l’action dans le propriétaire du référentiel et dans les journaux d’audit d’entreprise et activez l’accès pendant 2 heures.