Ouvrir le menu principal

MacGeneration

Recherche

GitHub veut empêcher que les développeurs partagent des secrets

Pierre Dandumont

jeudi 02 mars 2023 à 17:00 • 11

Logiciels

GitHub, qui appartient à Microsoft, vient d'annoncer qu'une nouvelle fonction avait été déployée en masse pour tous les utilisateurs : le secret scanning. L'idée est simple : empêcher un développeur distrait de publier des données qui devraient rester secrètes, comme les identifiants de connexion à un service de cloud.

Détection et désactivation

Le communiqué donne un exemple pratique : un développeur a scanné 13 954 dépôts et a trouvé 1 353 secrets différents dans 1 110 des dépôts. Il peut s'agir de codes d'accès à des API, à des services de cloud (comme AWS), des clés privées, etc.

Timo Klostermeier, CC-BY 2.0

La technologie repose sur un partenariat entre GitHub et les sociétés dont les données peuvent poser des soucis de sécurités si elles se retrouvent dans la nature. Le fonctionnement consiste en plusieurs étapes, et la première est évidemment de fournir une expression régulière qui va permettre de détecter la présence des données en question. Il s'agit d'un morceau de code qui permet de vérifier si la structure d'une variable correspond à celle d'un identifiant connu, par exemple. La seconde étape, une fois une structure détectée, consiste à créer un service qui va permettre de vérifier si la structure détectée est bien valide (il peut y avoir des faux positifs).

Enfin, les partenaires peuvent décider de révoquer automatiquement les données qui deviennent publiques, ou de simplement prévenir la personne qui a envoyé les informations. De même, il est possible de gérer les faux positifs, pour éviter les alertes intempestives.

Pour activer la fonction, il faut vous rendre dans Settings, puis dans Code security and analysis. La fonction Secret scanning se trouve en bas de la liste et peut être activée pour tous les dépôts mais aussi pour tous les dépôts futurs, de façon automatique.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Comment regarder les chaînes de télé sur l’Apple TV : toutes les apps et offres disponibles

31/08/2025 à 18:41

• 64


Ces articles du Club iGen passent en accès libre : découvrez nos contenus premium

31/08/2025 à 11:58

• 3


Le grand tapis de souris de Logitech en promo à 8 €

31/08/2025 à 08:34

• 0


« Digital detox » : le bilan de mes vacances (presque) sans iPhone

31/08/2025 à 08:00

• 30


Panne majeure en cours sur les moyens de paiement de nombreuses banques françaises

30/08/2025 à 20:17

• 93


« Le premier iPad protégé contre les liquides » : la déclaration d’Apple qui intrigue

30/08/2025 à 10:24

• 15


L’appel à la grève de la CB (et d’Apple Pay), un risque majeur pour les banques ?

30/08/2025 à 08:06

• 178


iOS 18.6.2 bouche une faille zéro day utilisant WhatsApp pour piéger les utilisateurs

30/08/2025 à 08:04

• 8


À contre-courant : pourquoi Florian n’abandonne pas WhatsApp

30/08/2025 à 08:00

• 78


Gemini lance un mode incognito, pour des conversations jetables

29/08/2025 à 21:00

• 12


my kSuite : une alternative gratuite, souveraine et suisse à Google et Microsoft (et à -80 % si besoin de plus) 📍

29/08/2025 à 20:07

• 0


Agenda, Path Finder, Unite… De bonnes apps Mac à prix cassé

29/08/2025 à 17:05

• 11


Fibre Power S : SFR baisse son offre triple-play à 26,99 €/mois

29/08/2025 à 16:22

• 15


Lenovo cogite sur un portable à écran paysage et portrait

29/08/2025 à 15:49

• 17


MacBook Air M4 en promo à partir de 949 € et 90 € en bons d'achat

29/08/2025 à 14:43

• 6


Guide d'achat : quels accessoires pour accompagner son nouvel iPad à la rentrée

29/08/2025 à 14:42

• 16