Skip to main content

Surveillance publique pour la détection des secrets

La surveillance publique détecte les informations d’identification divulguées par vos membres d’entreprise dans des référentiels GitHubpublics, ce qui vous donne une visibilité sur l’exposition secrète au-delà des limites de votre entreprise.

Qui peut utiliser cette fonctionnalité ?

Public monitoring is available for enterprises on GitHub Enterprise Cloud with GitHub Advanced Security or GitHub Secret Protection enabled. Public monitoring is not available for GitHub Enterprise Cloud avec résidence des données.

Remarque

La surveillance publique de secret scanning est actuellement en préversion publique et est susceptible d’être modifiée. Si vous avez des commentaires, joignez-vous à la discussion.

À propos de la surveillance publique

GitHub surveille en temps réel les fuites de secrets sur GitHub. La surveillance publique attribue à votre entreprise les secrets exposés publiquement, en fonction de l’endroit où vos équipes effectuent des commits.

Secret scanning détecte les secrets dans les référentiels que votre entreprise possède. La surveillance publique étend cette détection aux secrets trouvés dans des dépôts publics arbitraires dans .com GitHub, que votre entreprise possède ou non le référentiel où elle a été divulguée.

Cela donne aux administrateurs de sécurité d’entreprise une visibilité sur l’exposition des informations d’identification qu’ils ne savent pas autrement, ce qui permet d’identifier les risques potentiels et les secrets fuites susceptibles d’être exploités par des acteurs malveillants.

Fonctionnement de la surveillance publique

La surveillance publique analyse les dépôts publics, y compris le contenu non lié au code, comme les commentaires sur les tickets et les demandes de tirage, dans l’ensemble de GitHub afin de détecter les secrets associés à votre entreprise. Lorsqu’un secret est détecté, une alerte est exposée dans la vue d’ensemble de la sécurité au niveau de l’entreprise.

Méthodes d’attribution

La surveillance publique utilise deux méthodes pour associer des secrets détectés à votre entreprise :

  • Appartenance à l’entreprise : Secrets divulguées par les utilisateurs membres de votre entreprise
  • Correspondance de domaine vérifiée : Secrets divulguées par les utilisateurs dont l’adresse e-mail correspond à un domaine vérifié de votre entreprise, même s’ils ne sont pas des membres d’entreprise directs

Les deux méthodes d’attribution sont actives lorsque la surveillance publique est activée.

Requirements

Pour utiliser la surveillance publique, votre entreprise doit :

  • Avoir GitHub Advanced Security ou GitHub Secret Protection activé