Skip to main content

Сведения о проверке секретов для партнеров

Когда secret scanning обнаруживает сведения о проверке подлинности поставщика услуг в общедоступный репозиторий GitHub, оповещение отправляется непосредственно поставщику. Это позволяет поставщикам услуг, которые являются партнерами GitHub быстро принимать меры для защиты своих систем.

Кто может использовать эту функцию?

Оповещения о сканировании секретов для партнеров выполняется по умолчанию в следующих репозиториях:

  • Общедоступные репозитории и общедоступные пакеты npm на GitHub

О оповещения о сканировании секретов для партнеров

GitHub сканирует общедоступные репозитории и общедоступные пакеты npm для секретов, выданных определенными поставщиками услуг, которые присоединились к нашей партнерской программе, и предупреждает соответствующего поставщика услуг при обнаружении секрета в фиксации. Поставщик услуг проверяет строку и решает, следует ли ему отозвать секрет, выдать новый или связаться с вами напрямую. Его действие будет зависеть от того, какие риски при возникают для него или для вас. Сведения о нашей партнерской программе см. в разделе "Партнерская программа сканирования секретов".

Note

Невозможно изменить конфигурацию secret scanning для шаблонов партнеров в общедоступных репозиториях.

Причина отправки оповещений партнера непосредственно поставщикам секретов при обнаружении утечки для одного из секретов заключается в том, что это позволяет поставщику немедленно предпринять действия по защите и защите своих ресурсов. Процесс уведомлений для регулярных оповещений отличается. Регулярные оповещения отображаются на вкладке "Безопасность** репозитория**" на GitHub для разрешения.

Если для доступа к ресурсу требуются парные учетные данные, при сканировании секретов оповещение создается только в том случае, если обе части пары будут обнаружены в одном файле. Это гарантирует, что данные о частичных утечках не скрывают наиболее критичные утечки. Сопоставление пар также помогает уменьшить ложные срабатывания, так как оба элемента пары должны использоваться вместе для доступа к ресурсу поставщика.

Что такое поддерживаемые секреты

Сведения о секретах и поставщиках услуг, поддерживаемых защитой push-уведомлений, см. в разделе "Поддерживаемые шаблоны сканирования секретов".

Дополнительные материалы