Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы, возможно, еще выполняется. Актуальные сведения см. в документации на английском языке.

Сведения о проверке секретов

GitHub сканирует репозитории на наличие известных типов секретов, чтобы предотвратить случайную фиксацию секретов.

Оповещения о проверке секретов для партнеров автоматически запускается в общедоступных репозиториях во всех продуктах в GitHub.com. Оповещения о проверке секретов для пользователей доступны для общедоступных репозиториев, а также репозиториев, принадлежащих организациям, которые используют GitHub Enterprise Cloud и имеют лицензию на GitHub Advanced Security. Дополнительные сведения см. в разделе Сведения о Оповещения проверки секретов для пользователей и сведения о GitHub Advanced Security.

Сведения о secret scanning

Если проект взаимодействует с внешней службой, для проверки подлинности можно использовать токен или закрытый ключ. Токены и закрытые ключи — это примеры секретов, которые может выдавать поставщик услуг. Если зафиксировать секрет в репозитории, то любой пользователь с правами на чтение в репозитории сможет использовать этот секрет для доступа к внешней службе с вашими привилегиями. Рекомендуется хранить секреты в отдельном безопасном месте вне репозитория для проекта.

Secret scanning сканирует весь журнал Git во всех ветвях, присутствующих в репозитории GitHub, на наличие секретов.

Secret scanning доступно в GitHub.com в двух формах:

  1. Оповещения о проверке секретов для партнеров. Выполняется автоматически во всех общедоступных репозиториях. Все строки, которые соответствуют шаблонам, предоставленным партнерами по проверке секретов, передаются непосредственно соответствующему партнеру. Дополнительные сведения см. в разделе "Сведения о оповещения о проверке секретов для партнеров" ниже.

  2. Оповещения о проверке секретов для пользователей. Следующие пользователи могут включить и настроить дополнительную проверку:

    • Владельцы репозиториев в GitHub.com, в любых общедоступных репозиториях, в которые они владеют.
    • Организации, владеющие общедоступными репозиториями, в любом из этих репозиториев.
    • Организации, использующие GitHub Enterprise Cloud с лицензией на GitHub Advanced Security, в репозиториях, принадлежащих организации, включая частные и внутренние репозитории.

    Примечание: Функция Оповещения проверки секретов для пользователей доступна в бета-версии для пользователей планов GitHub Free, GitHub Pro или GitHub Team и может быть изменена.

    Все строки, которые соответствуют шаблонам, предоставленным партнерами по проверке секретов, другими поставщиками услуг или определенными вами или вашей организацией, отображаются как оповещения на вкладке Безопасность репозиториев. Если строка в общедоступном репозитории соответствует шаблону партнера, она также передается партнеру. Дополнительные сведения см. в разделе "Сведения о Оповещения проверки секретов для пользователей" ниже.

Поставщики услуг могут сотрудничать с GitHub и предоставлять свои форматы секретов для сканирования. Сведения о нашей партнерской программе см. в статье о партнерской программе Secret scanning.

Сведения о оповещения о проверке секретов для партнеров

Когда вы делаете репозиторий общедоступным или отправляете изменения в общедоступный репозиторий, GitHub всегда проверяет код на наличие секретов, соответствующих шаблонам партнеров. Если secret scanning обнаруживает потенциальный секрет, мы уведомим поставщика услуг, выпустившего секрет. Поставщик услуг проверяет строку и решает, следует ли ему отозвать секрет, выдать новый или связаться с вами напрямую. Его действие будет зависеть от того, какие риски при возникают для него или для вас. Дополнительные сведения см. в разделе Поддерживаемые секреты для оповещений партнеров.

Вы не можете изменить конфигурацию secret scanning для шаблонов партнеров в общедоступных репозиториях.

Сведения о Оповещения проверки секретов для пользователей

Оповещения о проверке секретов для пользователей доступны для всех общедоступных репозиториев. При включении secret scanning для репозитория GitHub проверяет код на наличие шаблонов, соответствующих секретам, используемым многими поставщиками услуг. При утечке поддерживаемого секрета GitHub создает оповещение secret scanning. Дополнительные сведения см. в разделе Поддерживаемые секреты для пользовательских оповещений".

Если вы являетесь администратором репозитория, вы можете включить Оповещения проверки секретов для пользователей для любого общедоступного репозитория. Владельцы организации также могут включить Оповещения проверки секретов для пользователей для всех репозиториев или для всех новых репозиториев в организации. Дополнительные сведения см. в статьях Управление параметрами безопасности и анализа для репозитория и Управление параметрами безопасности и анализа для организации.

GitHub хранит обнаруженные секреты с помощью симметричного шифрования как при передаче, так и при хранении.

Доступ к оповещения о проверке секретов

При включении secret scanning для репозитория или принудительной фиксации в репозитории с включенным secret scanning GitHub проверяет содержимое этих фиксаций на наличие секретов, соответствующих шаблонам, определенным поставщиками услуг.

Если secret scanning обнаруживает секрет, GitHub выдает оповещение.

  • GitHub отправляет оповещение по электронной почте администраторам репозитория и владельцам организации. Вы получите оповещение, если просматриваете репозиторий и включили уведомления для оповещений системы безопасности или для всех действий в репозитории.
  • Если участник, зафиксивший секрет, не игнорирует репозиторий, GitHub также отправит ей оповещение по электронной почте. Сообщения электронной почты содержат ссылку на связанное оповещение secret scanning. После этого автор фиксации может просмотреть оповещение в репозитории и отметить его как решенное.
  • GitHub отображает оповещение на вкладке Безопасность репозитория.

Дополнительные сведения о просмотре и разрешении оповещения о проверке секретов см. в разделе Управление оповещениями из secret scanning.

Администраторы репозитория и владельцы организации могут предоставлять пользователям и командам доступ к оповещения о проверке секретов. Дополнительные сведения см. в статье Управление параметрами безопасности и анализа для репозитория.

Вы также можете использовать REST API для мониторинга результатов из secret scanning в репозиториях. Дополнительные сведения о конечных точках API см. в статье Secret scanning.

Дополнительные материалы