Сведения о оповещениях проверки секретов

Узнайте о различных типах Оповещения о сканировании секретов.

Кто может использовать эту функцию?

Владельцы репозитория, владелец организации, руководители безопасности и пользователи с ролью администратора

Secret scanning доступен для следующих типов репозитория:

  •         **Публичные репозитории**: Secret scanning запускается автоматически бесплатно.

  •         **Частные и внутренние репозитории, принадлежащие организации**: доступны с [включённым GitHub Advanced Security](/get-started/learning-about-github/about-github-advanced-security) на GitHub Team или GitHub Enterprise Cloud.

  •         **Пользовательские репозитории**: доступны на GitHub Enterprise Cloud с Enterprise Managed Users. Доступно на GitHub Enterprise Server, когда у предприятия [включён GitHub Advanced Security](/get-started/learning-about-github/about-github-advanced-security) .

В этой статье

Сведения о типах оповещений

Существует два типов Оповещения о сканировании секретов:

  • Оповещения о проверке секретов: сообщается пользователям на вкладке "Безопасность " репозитория при обнаружении поддерживаемого секрета в репозитории.
  • Оповещения о принудительной защите: сообщается пользователям на вкладке "Безопасность " репозитория, когда участник проходит принудительной защиты.

О пользовательских оповещениях Оповещения о сканировании секретов

          Если включить secret scanning для репозитория или отправить фиксации в репозиторий с включенным параметром secret scanning GitHub сканирует содержимое секретов, соответствующих шаблонам служб и любым пользовательским шаблонам, определенным в вашей организации, организации или репозитории.
          
          Когда secret scanning обнаруживает секрет, GitHub создает оповещение.
          GitHub отображает оповещение на **вкладке "Безопасность** " репозитория.

Чтобы эффективнее сортировать оповещения, GitHub разделяйте их на два списка:

  •         **Стандартные** оповещения

  •         **Экспериментальные** тревоги


        ![Скриншот оповещения secret scanning. Кнопка переключения между оповещения «По умолчанию» и «Экспериментальными» выделена оранжевым контуром.](/assets/images/enterprise/3.16/help/security/secret-scanning-default-alert-view.png)

Список оповещений по умолчанию

В списке оповещений по умолчанию отображаются оповещения, относящиеся к поддерживаемым шаблонам и заданным пользовательским шаблонам. Это основное представление оповещений.

          список оповещений о экспериментах

          список экспериментальных оповещений показывает оповещения, связанные с паттернами, не принадлежащими провайдерам (например, приватные ключи),

Эти типы оповещений могут иметь более высокую скорость ложных срабатываний или секретов, используемых в тестах. Вы можете переключиться на список экспериментальных оповещений из списка оповещений по умолчанию.

          GitHub продолжат выпускать новые шаблоны и типы секретов в список экспериментальных оповещений и будут продвигать их в список по умолчанию после завершения функций (то есть при адекватном низком объёме и ложноположительных результатах).

Кроме того, оповещения, которые попадают в эту категорию:

  • Ограничено числом до 5000 оповещений для каждого репозитория (это включает открытые и закрытые оповещения).
  • Не отображаются в сводных обзорах для обзора безопасности, а только в «Secret scanning» виде.
  • Только первые пять обнаруженных мест GitHub отображаются для паттернов, обнаруженных ИИ.

Чтобы GitHub сканировать шаблоны, не связанные с провайдерами, сначала необходимо включить функции для вашего репозитория или организации. Для получения дополнительной информации смотрите Включение проверки секретов для шаблонов, отличных от поставщика.

Если для доступа к ресурсу требуются парные учетные данные, при сканировании секретов оповещение создается только в том случае, если обе части пары будут обнаружены в одном файле. Это гарантирует, что данные о частичных утечках не скрывают наиболее критичные утечки. Сопоставление пар также помогает уменьшить ложные срабатывания, так как оба элемента пары должны использоваться вместе для доступа к ресурсу поставщика.

Сведения о оповещениях защиты от push-уведомлений

Служба push-защиты отправляет запросы на наличие поддерживаемых секретов. Если защита от отправки обнаруживает поддерживаемый секрет, он заблокирует отправку. Когда участник обходит защиту от пуша, чтобы отправить секрет в репозиторий, генерируется оповещение о защите от пуша, которое отображается во Security вкладке репозитория. Чтобы просмотреть все оповещения защиты от push-уведомлений для репозитория, необходимо отфильтровать их на bypassed: true странице оповещений. Дополнительные сведения см. в разделе Просмотр и фильтрация оповещений из секретного сканирования.

Если для доступа к ресурсу требуются парные учетные данные, при сканировании секретов оповещение создается только в том случае, если обе части пары будут обнаружены в одном файле. Это гарантирует, что данные о частичных утечках не скрывают наиболее критичные утечки. Сопоставление пар также помогает уменьшить ложные срабатывания, так как оба элемента пары должны использоваться вместе для доступа к ресурсу поставщика.

Примечание.

          Старые версии некоторых маркеров могут не поддерживаться защитой push-уведомлений, так как эти маркеры могут создавать более высокое количество ложных срабатываний, чем их последняя версия. Защита от отправки может также не применяться к устаревшим маркерам. Для маркеров, таких как ключи служба хранилища Azure, GitHub поддерживает _только недавно созданные_ маркеры, а не маркеры, соответствующие устаревшим шаблонам.Для получения дополнительной информации о ограничениях защиты от пуша см. [AUTOTITLE.](/code-security/how-tos/secure-your-secrets/troubleshooting-secret-scanning#push-protection-and-pattern-versions)

Дополнительные материалы

  •         [AUTOTITLE](/code-security/reference/secret-security/supported-secret-scanning-patterns)

  •         [AUTOTITLE](/code-security/how-tos/secure-your-secrets/detect-secret-leaks/enabling-secret-scanning-for-non-provider-patterns)