Le parcours de GitHub pour traquer les secrets : de 20 000 alertes à zéro

GitHub a un jour fait face à un défi de sécurité redoutable : plus de 20 000 secrets exposés disséminés dans ses 15 000 dépôts et plus. L’entreprise s’est tournée vers son propre outil de détection de secrets pour résoudre le problème, en identifiant, évaluant et corrigeant systématiquement les risques. Neuf mois plus tard, GitHub avait réduit à zéro les alertes ouvertes — prouvant que même les problèmes de sécurité complexes peuvent être résolus avec la bonne stratégie.
Zoom sur le problème — et le bruit de fond
Toutes les alertes n’étaient pas urgentes. Cinq dépôts à eux seuls concentraient 18 000 alertes, mais la plupart concernaient des identifiants de test inactifs ou des jetons fictifs utilisés en développement. Il restait donc environ 2 000 alertes nécessitant une action réelle : des identifiants actifs et des décisions sur les risques, la rotation et la correction. Le défi dépassait le code : des secrets étaient aussi présents dans des tickets de support, des rapports de bug bounty, des notes d’incidents et des pages de wiki internes. Pour y remédier, GitHub a collaboré avec les équipes de support client, de réponse aux incidents de sécurité et son programme de bug bounty afin de créer des playbooks partagés et éviter de réintroduire involontairement des secrets exposés lors du nettoyage.
Passer de réactif à systématique : l’approche par étapes de GitHub
GitHub n’a pas résolu ce stock d’alertes manuellement. Au contraire, elle a traité la remédiation des secrets comme toute tâche opérationnelle : d’abord stopper l’accumulation de nouvelles fuites, puis réduire progressivement les problèmes existants grâce à une méthode répétable et mesurable. La première phase consistait à activer la détection de secrets et la protection des publications sur toutes les entreprises et organisations — une tâche colossale à l’échelle de 15 000 dépôts. En utilisant les paramètres au niveau organisation de GitHub Advanced Security, l’entreprise a imposé ces protections à grande échelle, empêchant l’ajout de nouveaux secrets tout en traitant systématiquement le stock existant. Le résultat ? Un processus structuré et scalable, réduisant la dépendance aux connaissances individuelles et rendant les améliorations de sécurité durables dans le temps.
L’expérience de GitHub révèle une leçon majeure pour les organisations : nettoyer les secrets ne se limite pas à les détecter — il s’agit surtout de mettre en place des processus empêchant leur réapparition. En intégrant la sécurité aux flux de travail existants et en s’appuyant sur l’automatisation, les entreprises peuvent passer de la gestion réactive des crises à une réduction proactive des risques.
Source : GitHub Blog. Synthèse éditoriale assistée par IA — TechnoExpress.

