Hinweis: Die allgemeine Geheimniserkennung für secret scanning liegt in der Betaversion vor. Funktionalität und Dokumentation können Änderungen unterliegen. Das Feature ist für Enterprise-Konten verfügbar, die GitHub Advanced Security für GitHub Enterprise Cloud verwenden.
Informationen zur allgemeinen Geheimniserkennung für secret scanning
Generische geheime Erkennung ist eine KI-gestützte Erweiterung von secret scanning, die unstrukturierte Geheimnisse (Kennwörter) in Ihrem Quellcode identifiziert und dann eine Warnung generiert.
GitHub Advanced Security Benutzer können bereits Warnungen zur Geheimnisüberprüfung für Partner oder benutzerdefinierte Muster in ihrem Quellcode erhalten, aber unstrukturierte Geheime sind nicht leicht auffindbar. Die KI-gesteuerte generische Geheimniserkennung verwendet große Sprachmodelle (LLMs), um diese Art von Geheimnissen zu identifizieren.
Wenn ein Kennwort erkannt wird, wird eine Warnung in der Liste der secret scanning-Warnungen (unter der Registerkarte Sicherheit des Repositorys, der Organisation oder des Unternehmens) angezeigt, damit Betreuer und Sicherheitsmanager die Warnung überprüfen und ggf. die Anmeldeinformationen entfernen oder einen Fix implementieren können.
Um die generische Erkennung von geheimen Schlüsseln zu verwenden, muss der Unternehmensbesitzer eine Richtlinie auf Unternehmensebene festlegen. Das Feature muss dann für Repositorys aktiviert werden. Weitere Informationen findest du unter Erzwingen von Richtlinien für die Codesicherheit und -analyse für Unternehmen.
Eingabeverarbeitung
Die Eingabe ist auf Text (in der Regel Code) beschränkt, den ein Benutzer in ein Repository eingecheckt hat. Das System stellt diesen Text dem LLM zusammen mit einer Meta-Eingabeaufforderung bereit, die die LLM auffordert, Kennwörter im Bereich der Eingabe zu finden. Der Benutzer interagiert nicht direkt mit dem LLM.
Das System scannt mithilfe der LLM nach Kennwörtern. Vom System werden keine zusätzlichen Daten erfasst, außer dem, was bereits vom vorhandenen secret scanning-Feature erfasst wird.
Ausgabe und Anzeige
Die LLM scannt nach Zeichenfolgen, die Kennwörtern ähneln und überprüft, ob die in der Antwort enthaltenen identifizierten Zeichenfolgen tatsächlich in der Eingabe vorhanden sind.
Diese erkannten Zeichenfolgen werden als Warnungen auf der Seite secret scanning-Warnungsseite angezeigt, werden jedoch in einer zusätzlichen Liste angezeigt, die von regulären Warnungen zur Geheimnisüberprüfung getrennt ist. Diese separate Liste wird mit mehr Kontrolle analysiert, um die Gültigkeit der Ergebnisse zu überprüfen. Jede Warnung stellt fest, dass sie mithilfe von KI erkannt wurde.
Verbessern der Leistung der generischen geheimen Erkennung
Um die Leistung der generischen Geheimniserkennung zu verbessern, empfehlen wir, falsch positive Warnungen angemessen zu schließen und Feedback zu geben, wenn Probleme auftreten.
Überprüfen der Genauigkeit von Warnungen und Schließen nach Bedarf
Da die KI-gesteuerte generische Geheimniserkennung möglicherweise mehr falsch positive Ergebnisse als das vorhandene Feature secret scanning für Partnermuster generiert, ist es wichtig, dass Sie die Genauigkeit dieser Warnungen überprüfen. Wenn Sie überprüfen, ob eine Warnung falsch positiv ist, schließen Sie die Warnung, und markieren Sie den Grund in der Benutzeroberfläche von GitHub als „Falsch positiv“. Das GitHub-Entwicklungsteam verwendet diese Informationen, um das Modell zu verbessern.
Feedback geben
Die generische Geheimniserkennung befindet sich derzeit in der Betaversion. Wenn Probleme oder Einschränkungen mit dem Feature auftreten, empfehlen wir, Feedback über die Schaltfläche Feedback senden zu geben, die unter jedem erkannten Geheimnis in der Liste der Warnungen für das Repository, die Organisation oder das Unternehmen aufgeführt ist. Dies kann Entwickler*innen dabei helfen, das Tool zu verbessern und alle Probleme oder Einschränkungen zu behandeln.
Einschränkungen der generischen geheimen Erkennung
Wenn Sie die generische Geheimniserkennung für secret scanning verwenden, sollten Sie die folgenden Einschränkungen berücksichtigen.
Eingeschränkter Gültigkeitsbereich
Ki-gesteuerte generische Geheimerkennung sucht derzeit nur nach Instanzen von Kennwörtern in Git-Inhalten. Das Feature sucht nicht nach anderen Typen von generischen Geheimschlüsseln und es sucht nicht nach Geheimnissen in Nicht-Git-Inhalten, z. B. GitHub Issues.
Potenziell falsch-positive Warnungen
Ki-gesteuerte generische Geheimniserkennung kann mehr falsch positive Warnungen generieren, wenn sie mit dem vorhandenen secret scanning-Feature verglichen werden (das Partnermuster erkennt und eine sehr niedrige Rate von falsch-positiven Ergebnissen hat). Um dieses übermäßige Rauschen zu mindern, werden Warnungen in einer separaten Liste von Partnermusterwarnungen gruppiert und Sicherheitsmanager und Betreuer sollten jede Warnung triagen, um ihre Genauigkeit zu überprüfen.
Potenzial für unvollständige Berichterstattung
Die KI-gesteuerte generische Geheimniserkennung kann Instanzen von Anmeldeinformationen verpassen, die in ein Repository eingecheckt wurden. Die LLM wird sich im Laufe der Zeit verbessern. Sie sind für Sicherheit Ihres Codes verantwortlich.
Auswertung der Erkennung von generischen Geheimnissen
Generische Geheimniserkennung wurde dem verantwortlichen KI Red Teaming unterzogen, und GitHub werden weiterhin die Wirksamkeit und Sicherheit des Features im Laufe der Zeit überwachen.