Сведения о оповещениях проверки секретов

Узнайте о различных типах Оповещения о сканировании секретов.

Кто может использовать эту функцию?

Владельцы репозитория, владелец организации, руководители безопасности и пользователи с ролью администратора

Secret scanning доступен для следующих типов репозитория:

  •         **Публичные репозитории**: Secret scanning запускается автоматически бесплатно.

  •         **Частные и внутренние репозитории, принадлежащие организации**: доступны с [включённым GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) на GitHub Team или GitHub Enterprise Cloud.

  •         **Пользовательские репозитории**: доступны на GitHub Enterprise Cloud с Enterprise Managed Users. Доступно на GitHub Enterprise Server, когда у предприятия [включён GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) .

В этой статье

Сведения о типах оповещений

Существует три типов Оповещения о сканировании секретов:

  • Оповещения пользователей: сообщается пользователям на вкладке "Безопасность " репозитория при обнаружении поддерживаемого секрета в репозитории.
  • Оповещения о принудительной защите: сообщается пользователям на вкладке "Безопасность " репозитория, когда участник проходит принудительной защиты.
  • Оповещения партнеров: сообщается непосредственно поставщикам секретов, которые являются частью партнерской программы secret scanning. Эти оповещения не отображаются на вкладке "Безопасность " репозитория.

О пользовательских оповещениях

          Если включить secret scanning для репозитория или отправить фиксации в репозиторий с включенным параметром secret scanning GitHub сканирует содержимое секретов, соответствующих шаблонам служб и любым пользовательским шаблонам, определенным в вашей организации, организации или репозитории.
          
          Когда secret scanning обнаруживает секрет, GitHub создает оповещение.
          GitHub отображает оповещение на **вкладке "Безопасность** " репозитория.

Чтобы эффективнее сортировать оповещения, GitHub разделяйте их на два списка:

  •         **Стандартные** оповещения

  •         **Общие** оповещения

Список оповещений по умолчанию

В списке оповещений по умолчанию отображаются оповещения, относящиеся к поддерживаемым шаблонам и заданным пользовательским шаблонам. Это основное представление оповещений.

          Общий

          Общий оповещений показывает оповещения, связанные с паттернами, не принадлежащими провайдерам (например, приватные ключи), или с общими секретами, обнаруженными с помощью ИИ (например, пароли).

Эти типы оповещений могут иметь более высокую скорость ложных срабатываний или секретов, используемых в тестах. Вы можете переключиться на общий оповещений из списка оповещений по умолчанию.

          GitHub продолжат выпускать новые шаблоны и типы секретов в общий оповещений и будут продвигать их в список по умолчанию после завершения функций (то есть при адекватном низком объёме и ложноположительных результатах).

Кроме того, оповещения, которые попадают в эту категорию:

  • Ограничено числом до 5000 оповещений для каждого репозитория (это включает открытые и закрытые оповещения).
  • Не отображаются в сводных обзорах для обзора безопасности, а только в «Secret scanning» виде.
  • Только первые пять обнаруженных мест GitHub отображаются для паттернов, не связанных с провайдером, и только первое обнаруженное место для общих секретов, обнаруженных ИИ.

Чтобы GitHub сканировать шаблоны и универсальные секреты, не связанные с провайдерами, сначала необходимо включить функцииS для вашего репозитория или организации. Для получения дополнительной информации смотрите Включение проверки секретов для шаблонов, отличных от поставщика и Включение обнаружения универсального секрета сканирования секретов Copilot.

Если для доступа к ресурсу требуются парные учетные данные, при сканировании секретов оповещение создается только в том случае, если обе части пары будут обнаружены в одном файле. Это гарантирует, что данные о частичных утечках не скрывают наиболее критичные утечки. Сопоставление пар также помогает уменьшить ложные срабатывания, так как оба элемента пары должны использоваться вместе для доступа к ресурсу поставщика.

Сведения о оповещениях защиты от push-уведомлений

Служба push-защиты отправляет запросы на наличие поддерживаемых секретов. Если защита от отправки обнаруживает поддерживаемый секрет, он заблокирует отправку. Когда участник обходит защиту от пуша, чтобы отправить секрет в репозиторий, генерируется оповещение о защите от пуша, которое отображается во Security and quality вкладке репозитория. Чтобы просмотреть все оповещения защиты от push-уведомлений для репозитория, необходимо отфильтровать их на bypassed: true странице оповещений. Дополнительные сведения см. в разделе Просмотр и фильтрация оповещений из секретного сканирования.

Если для доступа к ресурсу требуются парные учетные данные, при сканировании секретов оповещение создается только в том случае, если обе части пары будут обнаружены в одном файле. Это гарантирует, что данные о частичных утечках не скрывают наиболее критичные утечки. Сопоставление пар также помогает уменьшить ложные срабатывания, так как оба элемента пары должны использоваться вместе для доступа к ресурсу поставщика.

Примечание.

          Вы также можете включить защиту от push для вашего личного аккаунта, называемую «push protection for users», которая предотвращает случайное размещение поддерживаемых секретов в _любой_ публичный репозиторий. Оповещения не_ создаются_, если вы решили обойти только защиту push-уведомлений на основе пользователя. Оповещения создаются только в том случае, если в самом репозитории включена защита от принудительной отправки. Для получения дополнительной информации см. [AUTOTITLE](/code-security/secret-scanning/working-with-secret-scanning-and-push-protection/push-protection-for-users).

          Старые версии некоторых маркеров могут не поддерживаться защитой push-уведомлений, так как эти маркеры могут создавать более высокое количество ложных срабатываний, чем их последняя версия. Защита от отправки может также не применяться к устаревшим маркерам. Для маркеров, таких как ключи служба хранилища Azure, GitHub поддерживает _только недавно созданные_ маркеры, а не маркеры, соответствующие устаревшим шаблонам.Для получения дополнительной информации о ограничениях защиты от пуша см. [AUTOTITLE.](/code-security/how-tos/secure-your-secrets/troubleshooting-secret-scanning#push-protection-and-pattern-versions)

Сведения о оповещениях партнера

При GitHub обнаружении утечки секрета в публичном репозитории или пакете NPM уведомление отправляется непосредственно поставщику секрета, если он является частью GitHubпартнёрской программы секретного сканирования. Для получения дополнительной информации оповещения о сканировании секретов для партнеровсм. Партнерская программа сканирования секретов и Поддерживаемые шаблоны сканирования секретов.

Оповещения партнеров не отправляются администраторам репозитория, поэтому вам не нужно предпринимать никаких действий по этому типу оповещений.

Дополнительные материалы

  •         [AUTOTITLE](/code-security/reference/secret-security/supported-secret-scanning-patterns)

  •         [AUTOTITLE](/code-security/how-tos/secure-your-secrets/detect-secret-leaks/enabling-secret-scanning-for-non-provider-patterns)