{"meta":{"title":"Évaluation des alertes à partir de l’analyse des secrets","intro":"Découvrez les fonctionnalités supplémentaires qui peuvent vous aider à évaluer les alertes et hiérarchiser leur correction, par exemple la vérification de la validité d’un secret.","product":"Sécurité et qualité du code","breadcrumbs":[{"href":"/fr/enterprise-cloud@latest/code-security","title":"Sécurité et qualité du code"},{"href":"/fr/enterprise-cloud@latest/code-security/tutorials","title":"Tutorials"},{"href":"/fr/enterprise-cloud@latest/code-security/tutorials/remediate-leaked-secrets","title":"Corriger les secrets fuites"},{"href":"/fr/enterprise-cloud@latest/code-security/tutorials/remediate-leaked-secrets/evaluating-alerts","title":"Évaluer des alertes"}],"documentType":"article"},"body":"# Évaluation des alertes à partir de l’analyse des secrets\n\nDécouvrez les fonctionnalités supplémentaires qui peuvent vous aider à évaluer les alertes et hiérarchiser leur correction, par exemple la vérification de la validité d’un secret.\n\n## À propos de l’évaluation des alertes\n\nCertaines fonctionnalités supplémentaires peuvent vous aider à évaluer les alertes afin de mieux les hiérarchiser et les gérer. Vous pouvez:\n\n* Vérifier la validité d’un secret pour voir s’il est toujours actif. **S’applique uniquement aux jetons GitHub**. Consultez [Vérification de la validité d'un secret](#checking-a-secrets-validity).\n* Effectuer un contrôle de validité « à la demande » pour obtenir le statut de validation le plus à jour. Consultez [Effectuer une vérification de validité à la demande](#performing-an-on-demand-validity-check).\n* Passer en revue les métadonnées d'un jeton.\n **S’applique uniquement aux jetons GitHub**. Par exemple, pour voir quand le jeton a été utilisé pour la dernière fois. Consultez [Examen des métadonnées du jeton GitHub](#reviewing-github-token-metadata).\n\n## Vérification de la validité d’un secret\n\nLes contrôles de validité vous aident à classer par ordre de priorité les alertes en vous indiquant quels secrets sont `active` ou `inactive`. Un secret `active` est un secret qui pourrait encore être exploité, de sorte que ces alertes doivent être examinées et corrigées en priorité.\n\nPar défaut, GitHub vérifie la validité des jetons GitHub et affiche l’état de validation du jeton dans l’affichage des alertes.\n\nLes organisations utilisant GitHub Team, GitHub Enterprise Cloud avec une licence pour GitHub Secret Protection, ou GitHub Enterprise Server avec une licence pour GitHub Secret Protection peuvent également activer les vérifications de validité pour les modèles partenaires. Pour plus [d’informations, consultez Vérification de la validité d’un secret](/fr/enterprise-cloud@latest/code-security/secret-scanning/managing-alerts-from-secret-scanning/evaluating-alerts#checking-a-secrets-validity).\n\n| Validité | État | Résultat |\n| --------------------------- | ---------- | ------------------------------------------------------------------------------------------ |\n| Secret actif | `active` | GitHub a vérifié auprès du fournisseur de ce secret et a constaté que le secret est actif |\n| Secret éventuellement actif | `unknown` | GitHub ne prend pas encore en charge les vérifications de validation pour ce type de jeton |\n| Secret éventuellement actif | `unknown` | GitHub n’a pas pu vérifier ce secret |\n| Secret inactif | `inactive` | Vous devez vous assurer qu’aucun accès non autorisé n’a déjà eu lieu |\n\nLes vérifications de validité des modèles partenaires sont disponibles pour les types de référentiels suivants :\n\n* Référentiels appartenant à l’organisation sur GitHub Team ou GitHub Enterprise Cloud avec [GitHub Secret Protection](/fr/enterprise-cloud@latest/get-started/learning-about-github/about-github-advanced-security) activé\n\nPour plus d’informations sur l’activation des vérifications de validité pour les modèles de partenaires, consultez [Activer les vérifications de validité pour votre référentiel](/fr/enterprise-cloud@latest/code-security/secret-scanning/enabling-secret-scanning-features/enabling-validity-checks-for-your-repository) et pour plus d’informations sur les modèles de partenaires actuellement pris en charge, consultez [Modèles de détection de secrets pris en charge](/fr/enterprise-cloud@latest/code-security/secret-scanning/introduction/supported-secret-scanning-patterns).\n\nVous pouvez activer les vérifications de validité des modèles partenaires à l’aide de configurations de sécurité, définies au niveau de l’entreprise ou au niveau de l’organisation. Consultez [Création d’une configuration de sécurité personnalisée pour votre entreprise](/fr/enterprise-cloud@latest/admin/managing-code-security/securing-your-enterprise/creating-a-custom-security-configuration-for-your-enterprise) et [Création d’une configuration de sécurité personnalisée](/fr/enterprise-cloud@latest/code-security/securing-your-organization/enabling-security-features-in-your-organization/creating-a-custom-security-configuration).\n\nPour plus d’informations sur les modèles partenaires actuellement pris en charge, consultez [Modèles de détection de secrets pris en charge](/fr/enterprise-cloud@latest/code-security/secret-scanning/introduction/supported-secret-scanning-patterns).\n\nAvec une licence GitHub Copilot Enterprise, vous pouvez demander l'aide de Copilot Chat pour mieux comprendre les alertes de sécurité, y compris les alertes secret scanning, dans les dépôts de votre organisation. Pour plus d’informations, consultez « [Poser des questions à GitHub Copilot sur GitHub](/fr/enterprise-cloud@latest/copilot/using-github-copilot/asking-github-copilot-questions-in-githubcom#asking-questions-about-alerts-from-github-advanced-security-features) ».\n\nVous pouvez utiliser l’API REST pour obtenir une liste indiquant le statut de validation le plus récent pour chacun de vos jetons. Pour plus d’informations, consultez [Points de terminaison d’API REST pour l’analyse de secrets](/fr/enterprise-cloud@latest/rest/secret-scanning) dans la documentation de l’API REST. Vous pouvez également utiliser des webhooks pour être informé de l’activité liée à une alerte secret scanning. Pour plus d’informations, consultez l'événement `secret_scanning_alert` dans [Événements et charges utiles du webhook](/fr/enterprise-cloud@latest/webhooks/webhook-events-and-payloads?actionType=created#secret_scanning_alert).\n\n## Exécution d’un contrôle de validité à la demande\n\nUne fois que vous avez activé les contrôles de validité pour les modèles partenaires de votre dépôt, vous pouvez effectuer un contrôle de validité « à la demande » pour tout secret pris en charge en cliquant sur ** Vérifier le secret** dans la fenêtre des alertes. GitHub envoie le modèle au partenaire concerné et affiche l’état de validation du secret dans la fenêtre d’alerte.\n\n![Capture d’écran de l'interface utilisateur montrant une alerte secret scanning. Un bouton intitulé « Vérifier le secret » est mis en évidence par un contour orange.](/assets/images/help/security/secret-scanning-verify-secret.png)\n\n## Examen des métadonnées de jeton GitHub\n\n> \\[!NOTE]\n> Les métadonnées pour les jetons GitHub sont actuellement en préversion publique et sont susceptibles d’être modifiées.\n\nDans la vue d’une alerte de jeton GitHub active, vous pouvez passer en revue certaines métadonnées relatives au jeton. Ces métadonnées peuvent vous aider à identifier le jeton et à déterminer les étapes de correction à prendre.\n\nLes jetons, comme personal access token et d’autres informations d’identification, sont considérés comme des informations personnelles. Pour plus d’informations sur l’utilisation des jetons GitHub, consultez [Déclaration de confidentialité](/fr/site-policy/privacy-policies/github-privacy-statement) et [Stratégies d’utilisation acceptable de GitHub](/fr/site-policy/acceptable-use-policies/github-acceptable-use-policies).\n\n![Capture d’écran de l’interface utilisateur d’un jeton GitHub, montrant les métadonnées de jeton.](/assets/images/help/repository/secret-scanning-github-token-metadata.png)\n\nLes métadonnées des jetons GitHub sont disponibles pour les jetons actifs dans n’importe quel dépôt où l’analyse des secrets est activée. Si un jeton a été révoqué ou si son état ne peut pas être validé, les métadonnées ne sont pas disponibles. GitHub révoque automatiquement les jetons GitHub dans les dépôts publics, il est donc peu probable que les métadonnées des jetons GitHub dans les dépôts publics soient disponibles. Les métadonnées suivantes sont disponibles pour les jetons GitHub actifs :\n\n| Métadonnées | Descriptif |\n| ----------------------- | ------------------------------------------------------ |\n| Nom du secret | Nom donné au jeton GitHub par son créateur |\n| Propriétaire du secret | Handle GitHub du propriétaire du jeton |\n| Date de création | Date de création du jeton |\n| A expiré le | Date d’expiration du jeton |\n| Dernière utilisation le | Date de la dernière utilisation du jeton |\n| Access | Si le jeton dispose ou non d’un accès à l’organisation |\n\nSeules les personnes disposant d’autorisations d’administrateur dans le référentiel contenant un secret divulgué peuvent afficher les détails de l’alerte de sécurité et les métadonnées de jeton pour une alerte. Les propriétaires d’entreprise peuvent demander un accès temporaire au référentiel à cet effet. Si l’accès est accordé, GitHub notifie le propriétaire du dépôt contenant le secret divulgué, signale l’action dans les journaux d’audit du propriétaire du dépôt et de l’entreprise, et active l’accès pendant 2 heures. Pour plus d’informations, consultez [Accès aux dépôts appartenant aux utilisateurs dans votre entreprise](/fr/enterprise-cloud@latest/admin/managing-accounts-and-repositories/managing-repositories-in-your-enterprise/accessing-user-owned-repositories-in-your-enterprise).\n\n## Examen des métadonnées étendues pour un jeton\n\n> \\[!NOTE] Les vérifications de métadonnées étendues pour les jetons sont en préversion publique et peuvent être modifiées.\n\nDans la fenêtre d’une alerte de jeton GitHub, vous pouvez voir les métadonnées détaillées, telles que le propriétaire et les détails de contact.\n\nLe tableau suivant présente **toutes les métadonnées disponibles**. Notez que les vérifications de métadonnées sont actuellement limitées à l’API OpenAI, à Google OAuth et aux jetons Slack, et que les métadonnées affichées pour chaque jeton peuvent représenter uniquement un sous-ensemble de ce qui existe.\n\n| Type de métadonnées | Descriptif |\n| ------------------------------ | ------------------------------------------------------------------------------------------------------ |\n| ID du propriétaire | Identificateur unique du fournisseur pour l’utilisateur ou le compte de service propriétaire du secret |\n| Nom du propriétaire | Nom d'utilisateur ou nom d'affichage compréhensible du propriétaire du secret |\n| Adresse e-mail du propriétaire | Adresse e-mail associée au propriétaire |\n| Nom de l’organisation | Nom de l’organisation / espace de travail / projet auquel appartient le secret |\n| Org ID | Identificateur unique du fournisseur pour cette organisation |\n| Date d’émission du secret | Horodatage lorsque le secret (jeton ou clé) a été créé ou le plus récemment émis |\n| Date d’expiration du secret | Horodatage à laquelle le secret est prévu pour expirer |\n| Nom du secret | Nom d’affichage ou étiquette attribué par l’utilisateur pour le secret |\n| ID secret | Identificateur unique du fournisseur pour le secret |\n\n## Demander à GitHub Copilot Chat des informations sur les alertes secret scanning\n\nAvec une licence GitHub Copilot Enterprise, vous pouvez demander l'aide de Copilot Chat pour mieux comprendre les alertes de sécurité, y compris les alertes secret scanning, dans les dépôts de votre organisation. Pour plus d’informations, consultez « [Poser des questions à GitHub Copilot sur GitHub](/fr/enterprise-cloud@latest/copilot/using-github-copilot/asking-github-copilot-questions-in-githubcom#asking-questions-about-alerts-from-github-advanced-security-features) ».\n\n## Examen des étiquettes d’alerte\n\nDans la fenêtre des alertes, vous pouvez consulter toutes les étiquettes attribuées à l’alerte. Les étiquettes donnent des détails supplémentaires sur l’alerte, ce qui peut éclairer l’approche que vous adoptez pour la correction.\n\nSecret scanning Les alertes peuvent se voir attribuer les étiquettes ci-dessous. Suivant les étiquettes affectées, vous verrez des informations supplémentaires dans la fenêtre des alertes.\n\n| Étiquette | Descriptif | Informations sur la fenêtre d'alerte |\n| ------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------- |\n| `public leak` | Le secret détecté dans votre dépôt a également été trouvé comme une divulgation publique par au moins un des scans du code, des discussions, des gists, des tickets, des demande de tirage (pull request) et des wikis de GitHub. Cela peut vous obliger à traiter l’alerte avec plus d’urgence ou à la corriger différemment par rapport à un jeton exposé en privé. | Vous trouverez des liens vers les lieux publics spécifiques où la divulgation du secret a été détectée. |\n| `multi-repo` | Le secret détecté dans votre référentiel a été trouvé dans plusieurs dépôts de votre organisation ou entreprise. Ces informations peuvent vous aider à déduire plus facilement l’alerte au sein de votre organisation ou entreprise. | Si vous disposez des autorisations nécessaires, vous verrez des liens vers les alertes spécifiques pour le même secret dans votre organisation ou entreprise. |\n\n## Étapes suivantes\n\n* ```\n [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/resolving-alerts)\n ```"}