关于合作伙伴的机密扫描

当secret scanning在GitHub公共存储库中检测到服务提供商的身份验证详细信息时,警报将直接发送给服务提供商。 这使得作为合作伙伴的服务提供商能够及时采取措施保护他们的系统。

谁可以使用此功能?

合作伙伴的机密扫描警报 默认在以下存储库上运行:

  • GitHub 上的公共存储库和公共 npm 包

在本文中

关于 合作伙伴的机密扫描警报

          GitHub 扫描公共存储库和公共 npm 包,以获取加入我们合作关系计划的特定服务提供商颁发的机密,并在提交中检测到机密时向相关服务提供商发出警报。 服务提供商验证字符串,然后决定是应吊销机密、颁发新机密还是直接与您联系。 他们的行动将取决于您或他们的相关风险。 若要了解我们的合作伙伴计划,请参阅“[AUTOTITLE](/code-security/secret-scanning/secret-scanning-partnership-program/secret-scanning-partner-program)”。

注意

不能更改 secret scanning 公共存储库上合作伙伴模式的配置。

          合作伙伴的机密扫描警报 扫描:
  • 问题中的说明和注释
  • 标题、描述和评论,在开放和关闭的_历史_问题中
  • 拉取请求中的标题、描述和评论
  • 标题、描述和评论中的 GitHub Discussions
  • 维基
  • 私密代码片段

之所以在检测到合作伙伴机密泄露时直接向服务提供商发送警报,是为了让提供商能够立即采取措施保护用户和其资源。 常规警报的通知流程不同。 常规警报显示在存储库的 Security and quality 选项卡上 GitHub ,供你解决。

如果访问资源需要配对的凭据,则只有在同一文件中检测到该配对的两个凭据时,机密扫描才会创建警报。 这可确保最关键的泄漏不会隐藏在有关部分泄漏的信息后面。 对匹配还有助于减少误报,因为对的两个元素必须一起使用才能访问提供商的资源。

支持的机密类型

有关推送保护支持的机密和服务提供商的信息,请参阅“支持的机密扫描模式”。

延伸阅读

  •         [AUTOTITLE](/code-security/secret-scanning/introduction/about-secret-scanning)

  •         [AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns)

  •         [AUTOTITLE](/code-security/secret-scanning/secret-scanning-partnership-program/secret-scanning-partner-program)