Aller au contenu principal

Glossaire

Ce document définit les termes courants utilisés pour décrire notre moteur de détection des secrets.

Détecteur

Ensemble de règles appliquées à un document pour trouver un type de secret (ex. : clés AWS, URI de base de données, clé Google…).

Détecteur générique

Un détecteur est générique si nous ne pouvons pas inférer directement le fournisseur du secret. Par exemple, un détecteur cherchant un motif du type secret={high_entropy_string} est générique.

Détecteur spécifique

Détecteur conçu pour un type de secret bien identifié : clés AWS, URI MySQL, jeton Slack, etc. On l'oppose souvent aux détecteurs génériques.

Affectation et variable affectée

Une affectation est toute instruction de la forme {assigned_variable} {assignment_token} {value}. Par exemple dans my_variable = "HelloWorld", la variable affectée est my_variable.

Document

Tout texte associé à un nom de fichier. Le nom de fichier est optionnel.

Entropie

Mesure du caractère aléatoire d'une chaîne. Une clé API doit avoir une entropie élevée car il s'agit d'une séquence générée aléatoirement. Dans cette documentation, « entropie » désigne l'entropie de Shannon.

Chemin de fichier / nom de fichier / extension

Conventions pour les chemins. Exemple config/secrets.yaml :

  • yaml est l'extension.
  • secrets.yaml est le nom de fichier.
  • config/secrets.yaml est le chemin (filepath).

Insight

Information complémentaire sur un document ou un secret.

Correspondance (match)

Chaîne faisant partie d'un secret. Un secret peut être composé d'une ou plusieurs correspondances.

Matcher

Règle de détection appliquée à un document et qui produit des correspondances.

PostValidator

Règle de validation appliquée à un candidat secret (ex. : vérifier que toutes les correspondances ont une entropie suffisante).

Précision

Proportion de secrets détectés qui sont de vrais secrets. Nous suivons cette métrique grâce aux retours clients.

PreValidator

Règle de validation appliquée à un document (ex. : rechercher « datadog » dans le document).

Priorité

Règle qui privilégie un secret par rapport à un autre en cas de chevauchement. Un secret détecté par un détecteur spécifique a toujours une priorité plus élevée qu'un secret détecté par un détecteur générique.

Rappel (recall)

Proportion de secrets réels que nous détectons et classons comme tels. Cette métrique est presque impossible à mesurer sans étiquetage humain.

Scanner

Collection de détecteurs. Dans le code, c'est le point d'entrée pour analyser un document, et le seul moyen d'en analyser un.

Secret

Combinaison de chaînes trouvées par un détecteur dans un document. Cette combinaison doit permettre d'accéder à un service privé.

Chevauchement de secrets

Deux secrets se chevauchent si l'une des correspondances de l'un est partiellement ou totalement incluse dans les correspondances de l'autre.

Vérification de validité

Appel non intrusif au service concerné permettant de déterminer si une clé est valide ou invalide. Certaines vérifications améliorent la précision et limitent les alertes aux secrets valides.

Dernière mise à jour le

Il manque quelque chose ?

Voir notre feuille de route

S'abonner sur GitHub

Soumettre une demande

Statut de l’API