Accueil Actualités Détails
GitHub et Microsoft réduisent les faux positifs de 75,76 % dans le scan des secrets
2026-06-12 11:26
Favoris

fr.wedoany.com Rapport : GitHub a collaboré avec l’équipe Agents Offense de Microsoft Security & AI (Microsoft Security & AI’s Agents Offense team) pour appliquer la méthode de validation Agentic Secret Finder, introduisant davantage de raisonnement contextuel dans la validation du scan des secrets de GitHub. Cette méthode combine le pipeline de détection à grande échelle de GitHub avec une validation contextuelle basée sur les LLM, réduisant finalement le taux de faux positifs de 75,76 %, dépassant ainsi l’objectif initial de 65 %. Lors de l’évaluation, l’équipe a testé la méthode sur 1 500 alertes de faux positifs confirmées par les clients. À l’échelle de l’immense base de code de GitHub, le problème des faux positifs dans les alertes de scan des secrets a longtemps perturbé les développeurs, un excès d’alertes de faible valeur affaiblissant la crédibilité du système.

Diagramme montrant comment les étapes de validation existantes de GitHub sont renforcées par un raisonnement contextuel pour améliorer la détection des changements de précision

La détection traditionnelle basée sur la correspondance de motifs peut identifier des chaînes ressemblant à des secrets, mais a du mal à distinguer une exposition réelle d’une valeur simplement sensible. Pour relever ce défi, l’équipe n’a pas simplement augmenté la quantité de données analysées, mais s’est concentrée sur l’extraction d’un petit ensemble d’informations à fort signal. Par exemple, le système vérifie si une valeur assignée à une variable est ensuite transmise à une requête API, un en-tête d’authentification, un client de base de données ou un appel SDK cloud. Les recherches ont montré que la plupart des faux positifs peuvent être résolus uniquement avec le contexte ciblé au niveau du fichier, tandis que la transmission d’un fichier entier ou d’un dépôt introduit trop de bruit et augmente les coûts et la latence. Cette stratégie de « meilleur contexte » plutôt que de « plus de contexte » permet au système de distinguer plus efficacement les vrais secrets des données de test ou des espaces réservés.

Tableau montrant que « plus de contexte » comme fichier entier/dépôt, bruit élevé, n’est pas supérieur aux signaux d’utilisation et chemins d’exécution du « meilleur contexte », offrant une entrée ciblée.

Cette méthode s’appuie directement sur le système existant de scan des secrets de GitHub, renforçant la capacité de perception contextuelle de l’étape de validation sans modifier la logique de détection en amont ni réduire la couverture. Le scan des secrets de GitHub combine déjà une détection basée sur des motifs et une détection universelle des secrets pilotée par l’IA, couvrant des milliards de poussées de dizaines de millions de développeurs dans des millions de dépôts. Cette collaboration vise à élever la précision des secrets détectés par l’IA au même niveau élevé que la détection par motifs des fournisseurs.

Sur la base de 1 500 alertes de faux positifs confirmées par les clients, la réduction des faux positifs atteint 75,76 %.

Cette amélioration se traduit directement dans l’expérience des développeurs. La réduction des alertes non pertinentes permet aux développeurs de prioriser et de corriger plus rapidement les vrais problèmes. Actuellement, GitHub continue d’évaluer cette méthode sur des ensembles de données plus vastes et du trafic en temps réel, tout en optimisant davantage le processus d’extraction et de validation du contexte.

Texte compilé par Wedoany. Toute citation par IA doit mentionner la source « Wedoany ». En cas de contrefaçon ou d'autre problème, veuillez nous en informer rapidement ; nous modifierons ou supprimerons le contenu le cas échéant. Courriel : news@wedoany.com

États-Unis
Information et communicationIngénierie des logicielsIngénierie de la confidentialité des informations et de la sécurité des données
Préc:La Russie alloue près de 2 milliards de roubles à la recherche sur les matériaux de lithographie par faisceau d'électrons et de lift-off
Suiv:Vodafone Idea étend la couverture 5G dans plusieurs régions de l'Inde et rétablit le réseau mobile sur la ligne Aqua 3 du métro de Mumbai avec Airtel
Produits Associés
Demander un devis /Unité
Radar multifonction de surveillance océanique et de détection basse altitude, mesure de l'environnement dynamique océanique à la frontière air-mer (Agent/Lancement exclusif) — Fiche technique disponible
Chengdu Dixin Technology Co., Ltd.
Demander un devis
Solution SIS pour l’instrumentation de sécurité
Beijing Consen Automation Technology Co., Ltd.
Demander un devis
Câble optique à tube central GYXTW
DONGGUAN TW-SCIE CO., LTD.
Demander un devis
25 Système de contrôle électro-hydraulique pour supports hydrauliques SAC
Beijing Tianma Intelligent Control Technology Co., Ltd.
Demander un devis
Calibrateur de pression automatique intelligent ConST811A
Beijing ConST Instruments Technology Inc.
Demander un devis
Plateforme de services d'IA
YUNDING TECHNOLOGY CO., LTD.
Demander un devis
Produit de système de multiplexage par division de longueur d’onde (WDM)
SHENZHEN SDG INFORMATION CO., LTD.
Demander un devis
Solution de Prévention des Fuites de Données pour Bureaux
Sangfor Technologies Inc.
Demander un devis /licence
Logiciel de serveur d'applications Baolande V9.5
Beijing Baolande Software Corporation
Demander un devis
Réseau local sans fil | Point d'accès AirEngine 5776-56T
Huawei
Demander un devis
Terminal satellite portable à panneau plat - Terminal portable manuel de 0,35 mètre
China Starwin Science & Technology co., Ltd.
Demander un devis
BUC intégré double bande Ka&Ku
COXSAT TECHNOLOGY CO., LTD.
Recommandés
La société Kunlunxing Robot de Chine s’installe dans la zone de développement économique de Pékin pour constituer une équipe d’intelligence incarnée
2026-06-12
La Corée du Sud crée le 11 un centre d'innovation pour les robots de construction basés sur l'IA
2026-06-12
HollySys lance l'IA d'alerte intelligente des conditions de fonctionnement pour l'industrie de process basée sur XWorld
2026-06-12
Agile Robots présente le contrôle d'effort et l'IA incarnée au Japan Robot Technology Exhibition 2026
2026-06-12
Alibaba Cloud lance Meoo CLI, un outil de déploiement en un clic pour les projets d'IA
2026-06-12
JD.com, en Chine, publie le premier protocole de paiement autonome pour agents intelligents, avec des niveaux allant de L0 à L5
2026-06-12
Le Centre international des arts de Longgang à Shenzhen et Huawei créent la première salle d'art au monde basée sur HarmonyOS et l'IA
2026-06-12
Coupe du Monde 2026 : le robot Atlas de Boston Dynamics effectuera le coup d'envoi
2026-06-12
La pharmacie intelligente Galaxy General de Chine établit un record de travail autonome continu pour un robot humanoïde
2026-06-12
Sage, une entreprise sud-coréenne, sélectionnée pour le programme de développement des futures licornes mondiales des TIC
2026-06-12
Derniers Bulletins
1
Mubea Aviation remporte un contrat avec Airbus Atlantic pour les composites de l'A350
2
La société Kunlunxing Robot de Chine s’installe dans la zone de développement économique de Pékin pour constituer une équipe d’intelligence incarnée
3
Singapore Airlines reprendra sa ligne vers Madrid en octobre 2026
4
Balaena acquiert les chantiers navals britanniques du groupe APCL
5
Mazak Japon lance la machine FF-1250H L pour l'usinage de grandes pièces moulées sous pression monobloc
6
La Corée du Sud crée le 11 un centre d'innovation pour les robots de construction basés sur l'IA
7
Donghua Machinery (Chine) lance plusieurs séries de presses à injecter pour répondre aux besoins spécifiques de l'électroménager
8
La montée en cadence de la deuxième génération de batteries Blade de BYD est limitée par des goulots d'étranglement dans le procédé laser
9
Dürr lance le nouveau système d'immersion rotative RoDip E^zy
10
HollySys lance l'IA d'alerte intelligente des conditions de fonctionnement pour l'industrie de process basée sur XWorld