+33 (0)6 46 52 57 93  contact@florianperrier.com

Demander un devis gratuit

Le secret scanning de GitHub : qu’est-ce que c’est ?

Depuis les deux dernières années, GitHub propose déjà une fonctionnalité qui permet de scanner les codes afin de déceler les éventuelles vulnérabilités. Aujourd’hui, il met également un outil d’analyse des informations cachées à la disposition des utilisateurs pour renforcer la sécurité lorsqu’ils effectuent des dépôts dans GitHub.

Une meilleure sécurité avec le secret scanning

Comme les dépôts de code open source renferment toujours des éléments très intéressants, les hackers sont nombreux à essayer de pirater les plateformes concernées. GitHub figure parmi les plus grandes plateformes dans ce domaine. Rappelons que, depuis 2018, elle appartient à Microsoft et le niveau de protection est optimisé chez GitLab ou Bitbucket.

En effet, en 2020, le scan de code dédiés aux systèmes de référence publics, un service gratuit, a été mis en place. Actuellement, GitHub améliore la sécurité en proposant le secret scanning pour la vérification des clés, mais aussi pour le contrôle des « tokens ».

Le secret scanning, pour faire une recherche dans l’intégralité de votre historique

Grâce au secret scanning, votre historique Git est minutieusement vérifié dans son intégralité. Les différentes ramifications présentes dans chaque dépôt GitHub sont scannées afin de rechercher les éléments cachés. Un scan automatique est lancé pour analyser tous les dépôts publics feront l’objet.

Dès qu’un secret potentiel est détecté, le fournisseur émetteur du secret sera informé pour qu’il approuve la chaîne. Il pourra alors révoquer ou confirmer le secret, émettre un autre secret ou contacter directement le partenaire concerné. Il choisira l’action appropriée en tenant compte des risques qui peuvent en découler pour les parties concernées.

Le secret scanning est payant pour les dépôts de code privés

Tous les usagers de GitHub peuvent profiter de ce service gratuit, mais seulement sur les systèmes de référence publics. S’ils souhaitent que les codes privés déposés soient également scannés, ils sont tenus de souscrire une licence GitHub Entreprise Cloud. Il est également possible d’acheter une licence Advanced Security. Ils doivent donc payer des frais pour accéder à cette fonction sur les dépôts de code privés.