Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.
 

 

配置仓库的密码扫描

本文内容

您可以配置 GitHub 如何扫描存储库以查找与高级安全模式匹配的机密。

People with admin permissions to a repository can enable > - 秘密扫描,用于高级安全 for the repository.

秘密扫描,用于高级安全 is available for organization-owned repositories in GitHub Enterprise Cloud if your enterprise has a license for GitHub Advanced Security. For more information, see "GitHub's products."

启用 > - 秘密扫描,用于高级安全

您可以对组织拥有的任何仓库启用 > - 秘密扫描,用于高级安全。 启用后,秘密扫描 将在 GitHub 仓库中存在的所有分支上扫描整个 Git 历史记录的任何密钥。

  1. 在 GitHub.com 上,导航到仓库的主页面。

  2. 在仓库名称下,单击 Settings(设置)仓库设置按钮

  3. 在边栏的“Security(安全性)”部分中,单击 Code security and analysis(代码安全性和分析)

  4. 如果 Advanced Security 尚未对仓库启用,请在“GitHub Advanced Security”右侧单击 Enable(启用)为仓库启用 GitHub Advanced Security

  5. 查看启用 Advanced Security 的影响,然后点击 对仓库启用 GitHub Advanced Security

  6. 当您启用 Advanced Security 时,秘密扫描 可能会因为组织的设置而自动启用。 如果 "秘密扫描" 显示 Enable(启用)按钮,则您仍需通过单击 Enable(启用)来启用 秘密扫描。 如果您看到 Disable(禁用)按钮,则表明 秘密扫描 已启用。 为仓库启用 秘密扫描

  7. (可选)如果要启用推送保护,请单击“Push protection(推送保护)”右侧的 Enable(启用) 。 启用推送保护时, 秘密扫描 还会检查推送是否存在高置信度机密(以低误报率标识的机密)。 秘密扫描 列出了它检测到的任何机密,以便作者可以查看机密并删除它们,或者在需要时允许推送这些机密。 更多信息请参阅“使用 秘密扫描 保护推送”。 为存储库启用推送保护

从 > - 秘密扫描,用于高级安全 中排除目录

您可以使用 secret_scanning.yml 文件从 秘密扫描 排除目录。 例如,可以排除包含测试或随机生成内容的目录。

  1. 在 GitHub.com 上,导航到仓库的主页面。

  2. 在文件列表上方,使用 Add file(添加文件)下拉菜单,单击 Create new file(创建新文件)"添加文件"下拉菜单中的"创建新文件"按钮

  3. 在文件名字段中,键入 .github/secret_scanning.yml

  4. Edit new file(编辑新文件)下,键入 paths-ignore:,后接您想要从 秘密扫描 排除的路径。

    paths-ignore:
  - "foo/bar/*.js"

    您可以使用特殊字符(如 *)来过滤路径。 有关过滤模式的更多信息,请参阅“GitHub Actions 的工作流程语法”。

    注意:

    • 如果 paths-ignore 中的条目超过 1,000 个,秘密扫描 只会从扫描中排除前 1,000 个目录。
    • 如果 secret_scanning.yml 大于 1 MB,秘密扫描 将忽略整个文件。

您也可以忽略来自 秘密扫描 的个别警报。 更多信息请参阅“管理来自 秘密扫描 的警报”。

延伸阅读