Что такое защита от нежелательных уведомлений?
Защита от push — это функция, secret scanning предназначенная для предотвращения попадания чувствительной информации, такой как секреты или токены, в ваш репозиторий. В отличие от , который обнаруживает секреты уже после их фиксации, пуш-защита проактивно сканирует ваш код на секреты во время процесса push, а при их обнаружении secret scanningблокирует.
Как работает защита push-уведомлений
Секреты защиты push-защиты обнаружены в:
- Push из командной строки
- Коммиты, созданные в GitHub интерфейсе
- Загрузка файлов в репозиторий на GitHub
- Запросы к API REST
- Взаимодействие с GitHub MCP-сервером (только публичные репозитории)
Когда push-защита обнаруживает потенциальный секрет во время попытки push, она блокирует пуш и предоставляет подробное сообщение с объяснением причины блокировки. Вам потребуется просмотреть заданный код, удалить конфиденциальную информацию и повторно выполнить отправку.
Виды защиты от толчка
Существует два типа защиты от толчка:
-
[Защита от push для репозиториев.](#push-protection-for-repositories) -
[Защита от пуша для пользователей](#push-protection-for-users)
Защита от push для репозиториев.
Вы можете включить защиту от push для репозиториев на уровне репозитория, организации или предприятия. Этот вид защиты от толчка:
- Требуется GitHub Secret Protection включение
- По умолчанию отключён и может быть активирован администратором репозитория, владельцем организации, менеджером безопасности или владельцем предприятия
- Блоки блокируют доступ к определённым защищённым хранилищам
- Генерирует оповещения о прохождении защиты push во Security вкладке репозитория, организации и предприятия
Защита от push-уведомлений для пользователей
Защита от push для пользователей доступна только на GitHub.com, и она специфична для вашего GitHub аккаунта. Этот вид защиты от толчка:
- Включено по умолчанию
- Это не даёт вам распространять секреты в публичные хранилища GitHub
- Не генерирует оповещения при обходе защиты от пуша, если только защита от пуша не включена на уровне репозитория
Обход защиты от толкания и оповещения
Для защиты от push для репозиториев, по умолчанию любой, кто имеет доступ к записи в репозиторий, может обойти защиту от push, указав причину обхода. Когда участник обходит блок защиты от push, GitHub:
- Создаёт оповещение во вкладке «Безопасность » репозитория, организации и предприятия
- Добавляет событие обхода в журнал аудита
- Отправляет уведомление по электронной почте владельцам личных аккаунтов, организаций и предприятий, менеджерам по безопасности и администраторам репозиториев, которые следят за репозиторием, с ссылкой на секрет и причиной его разрешения
В этой таблице показано поведение оповещений по каждой причине обхода, которую пользователь может указать.
| Обход причины | Поведение оповещений |
|---|---|
| Он используется в тестах |
GitHub создаёт закрытое оповещение, которое разрешается как «используется в тестах» |
| Это ложное срабатывание | GitHub создаёт закрытое оповещение, которое разрешается как «ложноположительный» | | Я исправлю его позже | GitHub создаёт открытое предупреждение |
Если вы хотите больше контроля над тем, кто может обойти защиту от пуша, а какие пушы содержат секреты, можно настроить от пуша, назначенной группе рецензентов для контроля и управления запросами на обход.
Преимущества защиты от толчка
-
**Предотвращение безопасности:** защита push-уведомлений выступает в качестве механизма защиты переднего плана путем сканирования кода секретов во время отправки. Такой профилактический подход помогает выявлять потенциальные проблемы до их слияния в репозиторий. -
**Немедленная обратная связь:** разработчики получают мгновенные отзывы, если во время попытки отправки обнаружен потенциальный секрет. Это немедленное уведомление позволяет быстро исправляться, уменьшая вероятность предоставления конфиденциальной информации. -
**Снижение риска утечки данных:** блокируя фиксации, содержащие конфиденциальную информацию, защита push-уведомлений значительно снижает риск случайной утечки данных. Это помогает защититься от несанкционированного доступа к инфраструктуре, службам и данным. -
**Эффективное управление секретами:** вместо ретроспективной работы с открытыми секретами разработчики могут решать проблемы в источнике. Это делает управление секретами более эффективным и менее трудоемким. -
**Функция обхода для гибкости:** В случаях ложных срабатываний или необходимости определённых паттернов можно обойти защиту от push для пользователей, а назначенные пользователи могут использовать функцию делегированного обхода для обхода пуш-защиты репозиториев. Это обеспечивает гибкость без ущерба общей безопасности. -
**Возможность обнаруживать пользовательские шаблоны (для репозиториев в организациях):** Организации могут определять индивидуальные паттерны для обнаружения секретов, уникальных для их среды. Такая настройка гарантирует, что защита от пуша может эффективно выявлять и блокировать даже нестандартные секреты.
Настройка
После включения защиты от пуш-репозиториев вы можете настроить её следующим образом:
- Определение пользовательских паттернов для блок-пушей, содержащих уникальные секретные паттерны
- Назначение участников, которые могут обойти защиту от push и одобрить запросы на обход для других участников
Дальнейшие действия
Чтобы включить защиту от пуша: * Для репозитория см. Включение защиты push-уведомлений для репозитория. * Для организации или предприятия необходимо применить security configuration. См. раздел [AUTOTITLE и Создание настраиваемой конфигурации безопасности](/code-security/how-tos/secure-at-scale/configure-enterprise-security/establish-complete-coverage/creating-a-custom-security-configuration-for-your-enterprise).
Список секретов и поставщиков услуг, поддерживаемых push-защитой, см. Поддерживаемые шаблоны сканирования секретов.