Когда такие API-ключи и пароли фиксируются в репозиториях, они становятся мишенью для несанкционированного доступа. Secret scanning автоматически обнаруживает эти раскрытые секреты, чтобы вы могли защитить их до того, как они будут использованы.
Совет
В любое время вы можете бесплатно провести анализ кода вашей организации на предмет утечки секретов.
Для создания отчета откройте вкладка " Security tab for your organization, display the Assessments page, а затем нажмите кнопку "Сканировать вашу организацию".
Как секретное сканирование защищает ваш код
Secret scanning сканирует всю вашу историю Git на всех ветках репозитория на поиск API-ключей, паролей, токена и других известных типов секретов. GitHub также периодически пересканирует репозитории при добавлении новых типов секретов.
GitHub также автоматически сканирует:
- Описания и комментарии в проблемах
- Заголовки, описания и комментарии в открытых и закрытых исторических выпусках
- Заголовки, описания и комментарии в запросах на вытягивание
- Заголовки, описания и комментарии в GitHub Discussions
- Вики
- Секретные суть
Secret scanning оповещения и устранение
Когда secret scanning находит потенциальный секрет, GitHub генерирует уведомление на вкладке «Безопасность » вашего репозитория с подробностями о раскрытом учетном данных.
Когда вы получаете уведомление, немедленно поменяйте затронутую учетную информацию, чтобы предотвратить несанкционированный доступ. Хотя вы также можете удалить секреты из истории Git, это занимает много времени и часто не нужно, если вы уже отозвали учетную запись.
Возможность настройки
Помимо стандартного обнаружения секретов партнёров и поставщиков, вы можете расширять и настраивать secret scanning под свои нужды.
-
**Паттерны, не связанные с поставщиком.** Расширьте обнаружение на секреты, не связанные с конкретным провайдером, такие как приватные ключи, строки соединения и универсальные API-ключи. -
**Индивидуальные выкройки.** Определите свои регулярные выражения, чтобы выявлять специфичные для организации секреты, которые не покрываются стандартными шаблонами. -
**Проверка действительности.** Приоритизируйте устранение, проверяя, активны ли обнаруженные секреты.
Сведения о проверках допустимости
Проверки достоверности помогают определить, какие секреты нужно исправить в первую очередь, проверяя, активен ли обнаруженный секрет. При включении проверок действительности secret scanning может связаться с сервисом выдачи секрета, чтобы узнать, отозван ли удостоверительный код.
Проверки действительности проводятся отдельно от партнёрской программы secret scanning. В то время как секреты партнёров автоматически сообщаются поставщикам услуг для отзыва, проверки действительности подтверждают статус секретов, которыми вы управляете в своих оповещениях. Дополнительные сведения см. в разделе Сведения о проверках допустимости.
Как мне получить доступ к этой функции?
Secret scanning доступен для следующих типов репозитория:
-
**Публичные репозитории**: Secret scanning запускается автоматически бесплатно. -
**Частные и внутренние репозитории, принадлежащие организации**: доступны с [включённым GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) на GitHub Team или GitHub Enterprise Cloud. -
**Пользовательские репозитории**: доступны на GitHub Enterprise Cloud с Enterprise Managed Users. Доступно на GitHub Enterprise Server, когда у предприятия [включён GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) .
Дальнейшие шаги
-
**Если вы получили уведомление**, перейдите [в раздел AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning) , чтобы узнать, как просматривать, разрешать и исправлять раскрытые секреты.
Дополнительные материалы
- Полный список поддерживаемых секретов и поставщиков услуг см. Поддерживаемые шаблоны сканирования секретов.