La fonctionnalité d’alerte d’analyse secrète de GitHub, qui a été lancée au format bêta public en décembre 2022, est désormais généralement disponible gratuitement dans tous les référentiels publics.
Dans un article de blog (s’ouvre dans un nouvel onglet)la plate-forme de développement a noté que 70 000 référentiels publics avaient activé des alertes d’analyse secrètes pendant la version bêta, et donc la version complète sera une bonne nouvelle pour de nombreux développeurs du monde entier.
GitHub indique que vous pouvez activer la fonctionnalité dans les référentiels publics que vous possédez pour vous informer des fuites de secrets dans le code, les problèmes, la description et les commentaires.
Analyse secrète GitHub
La fonctionnalité fonctionne avec plus de 100 fournisseurs de services dans le programme de partenariat GitHub, qui permet à l’entreprise d’informer les utilisateurs et les partenaires lors de la détection de fuites de secrets.
« Avec les alertes d’analyse secrète activées, vous recevrez désormais également des alertes pour les secrets où il n’est pas possible d’avertir un partenaire – par exemple, si des clés auto-hébergées sont exposées – ainsi qu’un journal d’audit complet des actions prises suite à l’alerte », Github a noté.
La plate-forme a noté un développeur expérimenté qui avait utilisé l’outil pour analyser 14 000 référentiels publics GitHub Action, ce qui a permis de découvrir plus de 1 000 secrets, montrant à quel point il peut être facile de les manquer, d’où l’importance de l’outil.
UN pièce justificative (s’ouvre dans un nouvel onglet) explique quand un développeur peut vouloir utiliser l’outil :
« Si vous archivez un secret dans un référentiel, toute personne disposant d’un accès en lecture au référentiel peut utiliser le secret pour accéder au service externe avec vos privilèges. »
Ceux-ci peuvent inclure n’importe quoi, des clés API aux mots de passe, aux jetons d’authentification et à toute autre information sensible.
L’« analyse secrète » se trouve sous « Paramètres » > « Sécurité et analyse du code » > « Sécurité », où elle peut être activée ou désactivée.