Примечание. Универсальное обнаружение секретов для secret scanning находится в бета-версии. Функциональные возможности и документация могут быть изменены. Эта функция доступна для корпоративных учетных записей, использующих GitHub Advanced Security для GitHub Enterprise Cloud.
О универсальном обнаружении секретов для secret scanning
Универсальное обнаружение секретов — это расширение на основе ИИ secret scanning, которое определяет неструктурированные секреты (пароли) в исходном коде, а затем создает оповещение.
Пользователи GitHub Advanced Security уже могут получать Оповещения о сканировании секретов для партнерских или пользовательских шаблонов, найденных в исходном коде, но неструктурированные секреты не легко обнаруживаются. Обнаружение универсального секрета на основе искусственного интеллекта использует большие языковые модели (LLM) для идентификации этого типа секрета.
При обнаружении пароля оповещение отображается в списке оповещений secret scanning (на вкладке "Безопасность " репозитория, организации или предприятия), чтобы обслуживающие и руководители системы безопасности могли просматривать оповещение и, при необходимости, удалять учетные данные или реализовывать исправление.
Чтобы использовать универсальное обнаружение секретов, владелец предприятия устанавливает политику на уровне предприятия. Затем эту функцию необходимо включить для репозиториев. Дополнительные сведения см. в разделе Применение политик безопасности кода и анализа для вашего предприятия.
Обработка входных данных
Входные данные ограничены текстом (обычно кодом), который пользователь проверка в репозиторий. Система предоставляет этот текст LLM вместе с метазаставкой, запрашивая LLM найти пароли в область входных данных. Пользователь напрямую не взаимодействует с LLM.
Система сканирует пароли с помощью LLM. Никакие дополнительные данные не собираются системой, кроме того, что уже собрано существующим компонентом secret scanning .
Выходные данные и отображение
LLM проверяет строки, похожие на пароли и проверяющие, что определенные строки, включенные в ответ, фактически существуют в входных данных.
Эти обнаруженные строки отображаются в виде оповещений на странице оповещений secret scanning, но они отображаются в дополнительном списке, отдельном от обычных Оповещения о сканировании секретов. Цель заключается в том, что этот отдельный список с более тщательной проверкой для проверки действительности выводов. Каждое оповещение отмечает, что оно было обнаружено с помощью ИИ.
Повышение производительности обнаружения универсальных секретов
Чтобы повысить производительность универсального обнаружения секретов, рекомендуется закрывать ложные положительные оповещения соответствующим образом и предоставлять отзывы при возникновении проблем.
Проверка точности оповещений и закрытие по мере необходимости
Так как обнаружение универсального секрета на основе искусственного интеллекта может создавать более ложные срабатывания, чем существующая функция secret scanning для шаблонов партнеров, важно проверить точность этих оповещений. При проверке генерации оповещений о ложном срабатывании обязательно закройте оповещение и пометите причину как ложноположительное в пользовательском интерфейсе GitHub. Команда разработчиков GitHub будет использовать эти сведения для улучшения модели.
Предоставление отзыва
Универсальное обнаружение секретов в настоящее время находится в бета-версии. Если вы столкнулись с проблемами или ограничениями с функцией, рекомендуется предоставить отзыв с помощью кнопки "Дать отзыв ", указанную в каждом обнаруженном секрете в списке оповещений для репозитория, организации или предприятия. Это может помочь разработчикам улучшить инструмент и устранить любые проблемы или ограничения.
Ограничения универсального обнаружения секретов
При использовании универсального обнаружения секретов для secret scanningследует учитывать следующие ограничения.
Ограниченная область
В настоящее время обнаружение универсального секрета на основе искусственного интеллекта ищет только экземпляры паролей в содержимом Git. Эта функция не ищет другие типы универсальных секретов и не ищет секреты в содержимом, отличном от git, например GitHub Issues.
Потенциал для ложных срабатываний оповещений
Обнаружение универсального секрета на основе искусственного интеллекта может создавать более ложные положительные оповещения по сравнению с существующей функцией secret scanning (которая обнаруживает шаблоны партнеров и имеет очень низкую ложноположительный коэффициент). Чтобы устранить этот избыточный шум, оповещения группируются в отдельном списке от оповещений шаблонов партнеров, а руководители и специалисты по безопасности и поддержке должны проверять их точность.
Потенциал для неполных отчетов
Обнаружение универсального секрета, на основе искусственного интеллекта, может пропустить экземпляры учетных данных, проверка в репозиторий. LLM будет улучшаться с течением времени. Вы сохраняете конечную ответственность за обеспечение безопасности кода.
Оценка определения универсального секрета
Универсальное обнаружение секретов было подвержено ответственному анализу ИИ Red Teaming и GitHub будет продолжать отслеживать эффективность и безопасность функции с течением времени.