À propos des vérifications de validité
Vérifications de validité, fonctionnalité de secret scanning, vérifier si un secret détecté est toujours actif et peut être exploité. Cela vous aide à hiérarchiser la correction en mettant d’abord l’accent sur les secrets confirmés comme étant actifs.
Vous pouvez activer les vérifications de validité automatique pour les secrets détectés. Une fois activé, GitHub vérifie régulièrement la validité d’une information d’identification détectée en envoyant le secret à l’émetteur et en le testant sur les API fournies par ce service. Les vérifications de validité sont disponibles pour les secrets de nombreux fournisseurs de services, et la prise en charge continue de s’étendre à mesure que GitHub noue des partenariats avec d’autres services.
GitHub hiérarchise la confidentialité lors de la vérification de la validité des informations d’identification. En règle générale, nous effectuons des requêtes GET, choisissez les points de terminaison les moins intrusifs et sélectionnez des points de terminaison qui ne retournent aucune information personnelle.
GitHub affiche l’état de validation du secret dans l’affichage d’alerte. Vous pouvez donc voir si le secret est active, inactiveou si l’état de validation est unknown. Vous pouvez éventuellement effectuer une vérification de validité « à la demande » pour le secret dans la vue d’alerte.
À propos des vérifications de métadonnées étendues
Remarque
Les vérifications de métadonnées étendues dans les configurations de sécurité sont actuellement en préversion publique et peuvent être modifiées.
Les vérifications de métadonnées étendues fournissent des informations contextuelles supplémentaires sur les secrets détectés. Ils sont souvent appelés analyseurs dans d’autres outils.
Vous pouvez activer les vérifications de métadonnées étendues si les vérifications de validité sont activées. Vous obtiendrez ensuite des informations qui vous aident à :
- Obtenez plus d’informations sur les secrets détectés : savoir qui possède un secret.
- Hiérarchiser la correction : comprendre l’étendue et l’impact de chaque secret exposé.
- Améliorer la réponse aux incidents : identifiez rapidement les équipes responsables ou les individus lorsqu’un secret est divulguée.
- Améliorer la conformité : assurez-vous que les secrets s’alignent sur les stratégies de gouvernance et de sécurité de votre organisation.
- Réduire les faux positifs : utilisez un contexte supplémentaire pour déterminer si une détection nécessite une action.
Les métadonnées spécifiques disponibles dépendent de ce que partage le fournisseur de services avec GitHub. Tous les types de secrets ne prennent pas en charge les vérifications de métadonnées étendues. Pour plus d’informations, consultez « Évaluation des alertes à partir de l’analyse des secrets ».
Prise en main des vérifications de validité et de métadonnées étendues
Vous pouvez activer les vérifications de validité et de métadonnées étendues au niveau du référentiel, de l’organisation ou de l’entreprise pour vous aider à hiérarchiser les informations d’identification exposées présentant les risques de sécurité les plus immédiats.
Pour les grandes organisations, nous vous recommandons d’utiliser des configurations de sécurité pour activer ces fonctionnalités au niveau de l’organisation ou de l’entreprise. Les configurations de sécurité vous permettent de gérer de manière centralisée les secret scanning paramètres et de les appliquer de manière cohérente dans de nombreux référentiels.
Pour démarrer :
- Pour les référentiels, consultez Activer les vérifications de validité pour votre référentiel
- Pour une organisation, consultez Création d’une configuration de sécurité personnalisée
- Pour une entreprise, consultez Création d’une configuration de sécurité personnalisée pour votre entreprise