Ouvrir le menu principal

MacGeneration

Recherche

GitHub veut empêcher que les développeurs partagent des secrets

Pierre Dandumont

jeudi 02 mars 2023 à 17:00 • 11

Logiciels

GitHub, qui appartient à Microsoft, vient d'annoncer qu'une nouvelle fonction avait été déployée en masse pour tous les utilisateurs : le secret scanning. L'idée est simple : empêcher un développeur distrait de publier des données qui devraient rester secrètes, comme les identifiants de connexion à un service de cloud.

Détection et désactivation

Le communiqué donne un exemple pratique : un développeur a scanné 13 954 dépôts et a trouvé 1 353 secrets différents dans 1 110 des dépôts. Il peut s'agir de codes d'accès à des API, à des services de cloud (comme AWS), des clés privées, etc.

Timo Klostermeier, CC-BY 2.0

La technologie repose sur un partenariat entre GitHub et les sociétés dont les données peuvent poser des soucis de sécurités si elles se retrouvent dans la nature. Le fonctionnement consiste en plusieurs étapes, et la première est évidemment de fournir une expression régulière qui va permettre de détecter la présence des données en question. Il s'agit d'un morceau de code qui permet de vérifier si la structure d'une variable correspond à celle d'un identifiant connu, par exemple. La seconde étape, une fois une structure détectée, consiste à créer un service qui va permettre de vérifier si la structure détectée est bien valide (il peut y avoir des faux positifs).

Enfin, les partenaires peuvent décider de révoquer automatiquement les données qui deviennent publiques, ou de simplement prévenir la personne qui a envoyé les informations. De même, il est possible de gérer les faux positifs, pour éviter les alertes intempestives.

Pour activer la fonction, il faut vous rendre dans Settings, puis dans Code security and analysis. La fonction Secret scanning se trouve en bas de la liste et peut être activée pour tous les dépôts mais aussi pour tous les dépôts futurs, de façon automatique.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Un (faux) traceur GPS sur les cartons des MacBook Air, pour dissuader les livreurs de les voler

13:02

• 0


Un site web pour décoder les pages sauvées en .webarchive par Safari

11:00

• 1


Ulanzi présente une station d'accueil au look de petit Mac Pro

10:15

• 7


Promo : une batterie chameau de 27650 mAh capable de recharger Mac et iPhone à 114 € (-56 €)

09:18

• 9


Développeurs : Technotes ajoute des notes de la communauté sur la documentation d’Apple

08:33

• 2


L’iPhone redécolle en Chine, le Mac cartonne aux États-Unis : Apple souffle un peu avant les trimestriels le 31

07:52

• 30


Apple a creusé l’idée de proposer des services de cloud computing aux développeurs pour concurrencer AWS

03/07/2025 à 21:45

• 33


Apple sort des fonds d’écran aux couleurs de son nouvel Apple Store à Osaka

03/07/2025 à 21:00

• 8


Test du ViewSonic ColorPro VP2788-5K : 27″, 5K et DCI-P3 pour le prix d’un demi-Studio Display

03/07/2025 à 20:30

• 8


Guerre commerciale : les produits fabriqués au Vietnam voient leur taxe multipliée par cinq

03/07/2025 à 20:20

• 21


Microsoft Office 2021 pour Mac à 49,99 € : une aubaine à ne pas rater pendant les soldes d’été 📍

03/07/2025 à 20:07

• 0


L’iPhone 17 Pro Max pourrait avoir une grosse batterie de 5 000 mAh

03/07/2025 à 19:50

• 40


Une extension Chrome et Firefox désactive le doublage par IA de YouTube

03/07/2025 à 17:14

• 22


Le générateur de vidéos Veo 3 est désormais disponible en France dans l’application Gemini

03/07/2025 à 16:00

• 1


Starlink pourrait amener un Wi-Fi plus rapide et plus fiable dans les TGV

03/07/2025 à 15:39

• 51


Les identifiants d’une quinzaine de futurs Mac en fuite

03/07/2025 à 15:15

• 24