关于 secret scanning
如果有人在存储库中提交具有已知模式的机密,secret scanning 会在提交过程中立即捕获机密,并帮助您减轻泄漏的影响。 存储库管理员会收到有关包含机密的任何提交的通知,并且可以在存储库的选项卡中快速查看所有检测到的 Security 机密。 请参阅“关于机密扫描”。
可用性
启用 GitHub Advanced Security 后,Secret scanning 可用于组织拥有的存储库和用户拥有的存储库。
检查许可证是否包括 Advanced Security
可通过查看企业设置来确定企业是否具有 Advanced Security 许可证。 有关详细信息,请参阅“为企业启用 GitHub Advanced Security”。
先决条件 secret scanning
-
需要在运行的 GitHub Enterprise ServerVM/KVM 上启用 SSSE3(补充流式处理 SIMD 扩展 3)CPU 标志。 有关 SSSE3 的详细信息,请参阅 Intel 文档中的 Intel 64 和 IA-32 体系结构优化参考手册。
-
GitHub Advanced Security的许可证(请参阅[AUTOTITLE](/billing/managing-billing-for-your-products/managing-billing-for-github-advanced-security/about-billing-for-github-advanced-security)) -
Secret scanning 在管理控制台中启用(请参阅 [AUTOTITLE](/admin/code-security/managing-github-advanced-security-for-your-enterprise/enabling-github-advanced-security-for-your-enterprise))
检查您的 vCPU 上的 SSSE3 标志的支持
需要 SSSE3 指令集,因为 secret scanning 利用了硬件加速的模式匹配来查找提交到 GitHub 存储库的潜在凭据。 大多数现代 CPU 都启用了 SSSE3。 可以检查是否为您 GitHub Enterprise Server 实例的可用 vCPU 启用了 SSSE3。
-
连接到实例的管理 Shell GitHub Enterprise Server。 请参阅“访问管理 shell (SSH)”。
-
输入以下命令:
grep -iE '^flags.*ssse3' /proc/cpuinfo >/dev/null; echo $?如果返回值
0,则意味着 SSSE3 标志可用并且已启用。 现在可以启用 secret scanning。 请参阅下面的 “启用 secret scanning ”。如果不返回
0,则 SSSE3 未在 VM/KVM 上启用。 您需要参考硬件/虚拟机监控程序的文档,以了解如何启用该标志,或者如何使其可用于访客 VM。
启用 secret scanning
警告
- 更改此设置将导致 GitHub Enterprise Server 上面向用户的服务重新启动。 你应仔细安排此更改的时间,以最大程度地减少用户的停机时间。
- 在更改功能启用设置之前,你应该与组织所有者沟通你计划进行的任何更改,以免影响企业中组织已推出的现有安全配置。
- 在 GitHub Enterprise Server 上的管理帐户中,在任一页面的右上角,单击“”。
- 如果你尚未在“站点管理员”页上,请在左上角单击“站点管理员”。
- 在“ 站点管理”边栏中,单击“管理控制台”****。
- 在“设置”边栏中,单击“安全”。
- 在“安全性”下,选择 Secret scanning。
禁用 secret scanning
警告
- 更改此设置将导致 GitHub Enterprise Server 上面向用户的服务重新启动。 你应仔细安排此更改的时间,以最大程度地减少用户的停机时间。
- 在更改功能启用设置之前,你应该与组织所有者沟通你计划进行的任何更改,以免影响企业中组织已推出的现有安全配置。
-
在 GitHub Enterprise Server 上的管理帐户中,在任一页面的右上角,单击“”。
-
如果你尚未在“站点管理员”页上,请在左上角单击“站点管理员”。
-
在“ 站点管理”边栏中,单击“管理控制台”****。
-
在“设置”边栏中,单击“安全”。
-
在“安全性”下,取消选择 Secret scanning。
-
在“设置”边栏下,单击“保存设置”。
注意
保存 管理控制台 中的设置会重启系统服务,这可能会导致用户可察觉的停机时间。
-
等待配置运行完毕。