Analyseurs de secrets
Deux clés API Slack peuvent sembler offrir les mêmes accès, mais les permissions associées peuvent différer fortement. Un secret avec la permission
read:profile exposé fera moins de dégâts qu'un secret avec
read:everything. Il est important de partager cette information pour
prioriser la remédiation.
La fonctionnalité Secrets Analyzer enrichit les secrets détectés avec leurs rôles et permissions, ainsi que le contexte pertinent (propriété, périmètre, etc.). Cela aide les équipes sécurité à évaluer l'impact potentiel d'un incident et à prioriser efficacement la remédiation.
Comprendre le contexte d'un secret change la donne pour estimer l'impact d'un incident, car cela se traduit directement par les dommages possibles en cas d'abus.
Activer la fonctionnalité
Elle est activée par défaut. Pour la désactiver : Settings > Secrets > General.
Une fois activée, l'analyseur traite immédiatement les nouveaux incidents ainsi que les incidents existants.
Aider à prioriser avec la vue enregistrée Critical Scopes
Pour repérer rapidement les incidents impliquant des secrets aux permissions
critiques, nous fournissons la vue enregistrée intégrée
Critical Scopes, qui filtre les permissions les plus sensibles
couvertes par les analyseurs actuels.
Cette vue sera enrichie au fil du temps lorsque de nouveaux analyseurs seront ajoutés.
Quelles permissions couvre cette vue ?
GitHub PAT Fine Grained
# Repo permissions
Administration:Read, ReadWrite
Contents:Read, ReadWrite
Environments:Read, ReadWrite
Secret scanning alerts:Read,ReadWrite
Secrets:Read, ReadWrite
# Accounts permissions
Codespaces user secrets:Read, ReadWrite
GPG keys: Read, ReadWrite
Git SSH keys: Read, ReadWrite
GitHub PAT Classic
admin:org
repo
write:packages
write:org
delete:packages
read:org
admin:public_key
admin:org_hook
delete_repo
admin:enterprise
admin:gpg_key
admin:ssh_signing_key
Gitlab PAT
api
read_repository
read_api
admin_mode
sudo
Stripe
credit_note_read
credit_note_write
coupon_read
promotion_code_read
terminal_reader_read
terminal_reader_write
secret_write
token_read
token_write
transfer_read
transfer_write
charge_read
charge_write
apple_pay_domain_read
apple_pay_domain_write
terminal_connection_token_write
Nouveaux filtres pour naviguer selon les permissions découvertes
Le filtre Secret Scopes permet de filtrer les incidents selon les permissions associées au secret, afin d'identifier ceux aux permissions les plus impactantes.
Le filtre Secret Analyzer permet de filtrer selon le statut d'analyse (« Successful », « Failed », etc.).
Quand l'analyse est-elle déclenchée ?
Le système automatise des contrôles réguliers pour garder les résultats d'analyse à jour.
Tâche de backpopulate
Toutes les 15 minutes, une tâche repère les secrets sans analyse et lance l'analyse. Cela assure une couverture continue.
Planification immédiate
Exécution immédiate dans les cas suivants :
- Création d'incident : l'analyse est planifiée tout de suite (quelques minutes en général).
- Déclenchement manuel : même comportement.
Revérification périodique
Pour les secrets déjà analysés, une revérification périodique s'applique.
Vérification de validité et analyse
Les secrets en VALID, NOT_CHECKED ou FAILED_TO_CHECK sont revérifiés jusqu'à invalidation. Chaque passage combine vérification de validité et analyse.
Fréquence des contrôles
La fréquence dépend notamment de :
- Statut d'incident : ouvert, résolu ou ignoré
- Âge : récent (moins d'un an) ou ancien
Cela limite les appels API excessifs (rate limits) qui dégraderaient la qualité des contrôles.
Périodes par défaut (en jours)
| Statut & âge | Compte Business |
|---|---|
| Open & Recent | 1 |
| Open & Old | 7 |
| Resolved & Recent | 30 |
| Resolved & Old | 178 |
| Ignored & Recent | 178 |
| Ignored & Old | Never |
« Never » : aucune revérification automatique pour ces catégories.
Analyseurs disponibles
- Airtable API Key
- Algolia Keys
- Artifactory Access Token
- Artifactory Reference Token With Host
- Artifactory Token
- Auth0 Keys
- Bitbucket Access Token
- BitBucket App Password
- Buildkite API Token
- CircleCI Personal Token
- DigitalOcean Spaces Keys
- Fastly Personal Token
- GitHub Personal Access Token
- GitLab Token
- HubSpot Private Application Token
- Hugging Face user access token
- IBM Cloud Key
- Jira Token
- MongoDB Credentials
- MySQL Credentials
- OpenAI Admin API Key
- OpenAI API Key
- OpenAI Project API Key
- OpenAI Project API Key v2
- OpenAI Service Account
- PayPal OAuth2 Keys
- Plaid Keys
- PostgreSQL Credentials
- SendGrid Key
- SendinBlue Key
- Shopify Generic App Token With Subdomain
- Slack App Token
- Slack User Token
- Slack Bot Token
- Square Token
- Stripe Keys
- Terraform Cloud Token
- Xray Access Token
- Zendesk Token
Infrastructure
Sur notre SaaS (UE ou US), les requêtes du Secret Analyzer proviennent de ces adresses IP listées.
