Utilisation de la protection push dans l’interface utilisateur GitHub

Découvrez les options de déblocage de votre commit lorsque secret scanning détecte un secret dans vos modifications.

Qui peut utiliser cette fonctionnalité ?

Utilisateurs avec accès en écriture

Dans cet article

À propos de la protection push dans l’interface utilisateur GitHub

Lorsque vous chargez, créez, ou modifiez des fichiers à partir de l’interface utilisateur GitHub, la protection push vous empêche de valider accidentellement les secrets dans un référentiel en bloquant les commits contenant des secrets pris en charge.

GitHub bloquera également le commit si vous tentez de télécharger des fichiers contenant des secrets pris en charge.

Remarque

La protection Push pour les chargements de fichiers dans l’interface utilisateur web est actuellement en préversion publique et peut être amenée à changer.

Vous devez :

GitHub n’affiche qu’un secret détecté à la fois dans l’interface utilisateur web. Si un secret particulier a déjà été détecté dans le dépôt et qu’une alerte existe déjà, GitHub ne bloque pas ce secret.

Les propriétaires d’organisation peuvent fournir un lien personnalisé qui s’affiche lorsqu’une poussée est bloquée. Ce lien personnalisé peut contenir des ressources et des conseils spécifiques à votre organisation. Par exemple, le lien personnalisé peut pointer vers un fichier README avec des informations sur le coffre de secrets de l’organisation, les équipes et les individus auxquels remonter les questions, ou la stratégie approuvée de l’organisation pour travailler avec des secrets et réécrire l’historique des commits.

Résolution d’un commit bloqué

Lorsque vous utilisez l’interface Web pour tenter de valider un secret pris en charge dans un référentiel sécurisé par la protection push, GitHub bloque la validation.

Vous verrez une boîte de dialogue avec des informations sur l’emplacement du secret, ainsi que des options vous permettant d’envoyer (push) le secret. Le secret sera également souligné dans le fichier afin que vous puissiez le trouver facilement.

Pour résoudre un commit bloqué dans l’interface utilisateur Web, vous devez supprimer le secret du fichier. Une fois que vous avez supprimé le secret, vous pourrez valider vos modifications.

Remarque

Pour savoir comment résoudre un envoi (push) bloqué sur la ligne de commande, consultez « Travailler avec la protection contre les commits (push protection) depuis la ligne de commande ».

Contournement de la protection Push

Si GitHub bloque un secret que vous pensez pouvoir valider sans risque, vous pouvez contourner le blocage en spécifiant une raison pour autoriser le secret.

Lorsque vous autorisez l’envoi (push) d’un secret, une alerte est créée dans l’onglet Security and quality . GitHub Ferme l’alerte et n’envoie pas de notification si vous spécifiez que le secret est un faux positif ou utilisé uniquement dans les tests. Si vous spécifiez que le secret est réel et que vous le corrigerez ultérieurement, GitHub maintient l’alerte de sécurité ouverte et envoie des notifications à l’auteur de la validation, ainsi qu’aux administrateurs de référentiel. Pour plus d’informations, consultez « Gérer les alertes d’analyse des secrets ».

Quand un contributeur contourne un bloc de protection d’envoi (push) pour un secret, GitHub envoie également une alerte par e-mail aux propriétaires de l’organisation, responsables de la sécurité et administrateurs de référentiel qui ont opté pour les notifications par e-mail.

  1. Dans la boîte de dialogue qui s’est affichée lorsque GitHub a bloqué votre validation, consultez le nom et l’emplacement du secret.

  2. Choisissez l’option qui décrit le mieux la raison pour laquelle vous devez être en mesure de pousser le secret.

    • Si le secret est utilisé uniquement dans des tests et ne représente aucune menace, cliquez sur Il est utilisé dans des tests.

    • Si la chaîne détectée n’est pas un secret, cliquez sur Il s’agit d’un faux positif.

    • Si le secret est réel, mais que vous avez l’intention de le corriger plus tard, cliquez sur Je le corrigerai plus tard.

    Remarque

    Vous devez spécifier une raison de contourner la protection push si l’analyse des secrets est activée dans le référentiel.

    Lors d’une poussée vers un dépôt public pour lequel l’analyse des secrets n’est pas activée, vous êtes toujours protégé contre l’envoi (push) accidentel de secrets grâce à la protection push pour les utilisateurs, qui est activée par défaut pour votre compte d’utilisateur.

    Avec la protection push pour les utilisateurs, GitHub bloque automatiquement les envois (push) vers les dépôts publics si ces envois contiennent des secrets pris en charge, mais vous n’avez pas besoin de spécifier une raison d’autoriser le secret, et GitHub ne génère pas d’alerte. Pour plus d’informations, consultez « Gestion de la protection push pour les utilisateurs ».

  3. Cliquez sur Autoriser le secret.

Si vous ne voyez pas l’option permettant de contourner le bloc, cela signifie que l’administrateur du dépôt ou le propriétaire de l’organisation a configuré des contrôles plus stricts autour de la protection push. Au lieu de cela, vous devez supprimer le secret du commit ou envoyer une requête de « contournement des privilèges » afin de forcer le secret bloqué. Pour plus d’informations, consultez Demande de privilèges de contournement.

Demande de privilèges de contournement

Si votre commit a été bloqué par la protection push, vous pouvez demander l'autorisation de contourner le blocage. La requête est envoyée à un groupe désigné d’examinateurs, qui l’approuvera ou la refusera.

Les requêtes expirent au bout de 7 jours.

  1. Dans la boîte de dialogue qui s’est affichée lorsque GitHub a bloqué votre validation, consultez le nom et l’emplacement du secret.
  2. Cliquez sur Start request. La requête s’ouvrira dans un nouvel onglet. 1. Sous « Ou demander des privilèges de contournement », ajoutez un commentaire. Par exemple, vous pouvez expliquer pourquoi vous pensez que le secret peut être transmis en toute sécurité, ou fournir le contexte de la demande de contournement du blocage.
  3. Cliquez sur Envoyer la demande.
  4. Vérifiez vos notifications par e-mail pour obtenir une réponse à votre demande.

Une fois votre demande examinée, vous recevrez un e-mail vous informant de la décision.

Si votre requête est approuvée, vous pouvez valider les modifications contenant le secret dans le fichier. Vous pouvez également valider les modifications futures qui contiennent le même secret.

Si votre requête est refusée, vous devez supprimer le secret du fichier avant de pouvoir valider vos modifications.

Lectures complémentaires