Мониторинг оповещений от сканирования секретов

Вы можете настроить, как secret scanning уведомлять вас о secret scanning оповещениях, и проводить аудит, как ваша команда реагирует на них.

Кто может использовать эту функцию?

Владельцы репозитория, владелец организации, руководители безопасности и пользователи с ролью администратора

В этой статье

При secret scanning обнаружении потенциальной секретной утечки в вашем репозитории, важно быть в курсе этих уведомлений для поддержания безопасности кода. GitHub предоставляет несколько каналов уведомлений, чтобы вы и ваша команда были своевременно уведомлены при обнаружении секретов. Вы можете настроить, как и когда получать эти уведомления в зависимости от вашей роли и предпочтений.

Вы также можете проводить аудит ответов на secret scanning оповещения, чтобы отслеживать, как ваша команда управляет вопросами безопасности и поддерживает соответствие политикам вашей организации.

Настройка уведомлений для Оповещения о сканировании секретов

Помимо отображения уведомления во Security and quality вкладке репозитория, GitHub можно также отправлять уведомления по электронной почте с уведомлениями. Эти уведомления отличаются для добавочных проверок и исторических проверок.

Добавочные проверки

При обнаружении нового секрета GitHub уведомляет всех пользователей о доступе к оповещениям системы безопасности для репозитория в соответствии с их предпочтениями уведомления. К этим пользователям относятся:

  • Администраторы репозитория
  • Менеджеры по безопасности
  • Пользователи с пользовательскими ролями с доступом на чтение и запись
  • Владельцы организации и владельцы предприятий, если они являются администраторами репозиториев, где утечка секретов была утечка

Примечание.

Авторы фиксации, которые случайно зафиксировали секреты, будут получать уведомления независимо от их настроек уведомлений.

Если вы получите уведомление по электронной почте:

  • Вы просматриваете репозиторий.
  • Вы включили уведомления для "Все действия" или для пользовательских оповещений системы безопасности в репозитории.
  • В параметрах уведомлений в разделе "Подписки", а затем в разделе "Просмотр" вы выбрали получение уведомлений по электронной почте.

Кроме того, вы получите уведомление, если кто-то присвоит вам оповещение code scanning или secret scanning, см. раздел «Назначение уведомлений».

  1. На GitHubперейдите на главную страницу репозитория.

  2. Чтобы начать смотреть репозиторий, выберите Watch.

    Снимок экрана: главная страница репозитория. Раскрывающееся меню с названием "Смотреть" выделено оранжевым контуром.

  3. В раскрывающемся меню щелкните "Все действия". Кроме того, чтобы подписаться только на оповещения системы безопасности, нажмите кнопку "Пользовательский", а затем щелкните "Оповещения системы безопасности".

  4. Перейдите к параметрам уведомлений для личная учетная запись. Они доступны по адресу https://github.com/settings/notifications.

  5. На странице параметров уведомлений в разделе "Подписки", а затем в разделе "Просмотр" выберите раскрывающийся список "Уведомить меня ".

  6. Выберите "Электронная почта" в качестве параметра уведомления, а затем нажмите кнопку "Сохранить".

    Снимок экрана: параметры уведомлений для учетной записи пользователя. В разделе "Подписки" и "Просмотр" флажок с заголовком "Электронная почта" указан оранжевый.

Дополнительные сведения о настройке параметров уведомлений см. в разделе Управление параметрами безопасности и анализа для репозитория и настройка параметров часов для отдельного репозитория.

Исторические проверки

Для исторических сканирований GitHub уведомляет следующих пользователей:

  • Владельцы организации, владельцы предприятий и руководители по безопасности— всякий раз, когда выполняется проверка истории, даже если секреты не найдены.
  • Администраторы репозитория, руководители безопасности и пользователи с пользовательскими ролями с доступом на чтение и запись— всякий раз, когда историческая проверка обнаруживает секрет и в соответствии с их предпочтениями уведомления.

Мы не_ уведомляем _автор фиксации.

Дополнительные сведения о настройке параметров уведомлений см. в разделе Управление параметрами безопасности и анализа для репозитория и настройка параметров часов для отдельного репозитория.

Аудит ответов на оповещения о проверке секретов

Вы можете проверить действия, выполненные в ответ на оповещения secret scanning с помощью средств GitHub. Дополнительные сведения см. в разделе Аудит оповещений системы безопасности.