Сведения о проверке секретов

Предотвращайте мошенническое использование ваших секретов, автоматически обнаруживая раскрытые учетные данные до того, как они могут быть использованы.

В этой статье

Когда такие API-ключи и пароли фиксируются в репозиториях, они становятся мишенью для несанкционированного доступа. Secret scanning автоматически обнаруживает эти раскрытые секреты, чтобы вы могли защитить их до того, как они будут использованы.

Совет

В любое время вы можете бесплатно провести анализ кода вашей организации на предмет утечки секретов.

Для создания отчета откройте вкладка " Security tab for your organization, display the Assessments page, а затем нажмите кнопку "Сканировать вашу организацию".

Как секретное сканирование защищает ваш код

Secret scanning сканирует всю вашу историю Git на всех ветках репозитория на поиск API-ключей, паролей, токена и других известных типов секретов. GitHub также периодически пересканирует репозитории при добавлении новых типов секретов.

GitHub также автоматически сканирует:

  • Описания и комментарии в проблемах
  • Заголовки, описания и комментарии в открытых и закрытых исторических выпусках
  • Заголовки, описания и комментарии в запросах на вытягивание
  • Заголовки, описания и комментарии в GitHub Discussions
  • Вики
  • Секретные суть

Secret scanning оповещения и устранение

Когда secret scanning находит потенциальный секрет, GitHub генерирует уведомление на вкладке «Безопасность » вашего репозитория с подробностями о раскрытом учетном данных.

Когда вы получаете уведомление, немедленно поменяйте затронутую учетную информацию, чтобы предотвратить несанкционированный доступ. Хотя вы также можете удалить секреты из истории Git, это занимает много времени и часто не нужно, если вы уже отозвали учетную запись.

Интеграция партнеров

GitHub сотрудничает с широким спектром поставщиков услуг для проверки обнаруженных секретов. Когда обнаруживается секрет партнёра, мы уведомляем провайдера, чтобы он мог принять меры, например, аннулировать учетные данные. Секреты партнёра сообщаются напрямую провайдеру и не отображаются в оповещениях вашего репозитория. Дополнительные сведения см. в разделе Партнерская программа сканирования секретов.

Возможность настройки

Помимо стандартного обнаружения секретов партнёров и поставщиков, вы можете расширять и настраивать secret scanning под свои нужды.

  •         **Паттерны, не связанные с поставщиком.** Расширьте обнаружение на секреты, не связанные с конкретным провайдером, такие как приватные ключи, строки соединения и универсальные API-ключи.

  •         **Индивидуальные выкройки.** Определите свои регулярные выражения, чтобы выявлять специфичные для организации секреты, которые не покрываются стандартными шаблонами.

  •         **Проверка действительности.** Приоритизируйте устранение, проверяя, активны ли обнаруженные секреты.

Сведения о проверках допустимости

Проверки достоверности помогают определить, какие секреты нужно исправить в первую очередь, проверяя, активен ли обнаруженный секрет. При включении проверок действительности secret scanning может связаться с сервисом выдачи секрета, чтобы узнать, отозван ли удостоверительный код.

Проверки действительности проводятся отдельно от партнёрской программы secret scanning. В то время как секреты партнёров автоматически сообщаются поставщикам услуг для отзыва, проверки действительности подтверждают статус секретов, которыми вы управляете в своих оповещениях. Дополнительные сведения см. в разделе Сведения о проверках допустимости.

Как мне получить доступ к этой функции?

Secret scanning доступен для следующих типов репозитория:

  •         **Публичные репозитории**: Secret scanning запускается автоматически бесплатно.

  •         **Частные и внутренние репозитории, принадлежащие организации**: доступны с [включённым GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) на GitHub Team или GitHub Enterprise Cloud.

  •         **Пользовательские репозитории**: доступны на GitHub Enterprise Cloud с Enterprise Managed Users. Доступно на GitHub Enterprise Server, когда у предприятия [включён GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) .

Дальнейшие шаги

  •         **Если вы получили уведомление**, перейдите [в раздел AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning) , чтобы узнать, как просматривать, разрешать и исправлять раскрытые секреты.

Дополнительные материалы