Управление оповещения о проверке секретов
Примечание: Оповещения создаются только для репозиториев с включенным Оповещения проверки секретов для пользователей. Секреты, найденные в общедоступных репозиториях с помощью бесплатной службы оповещения о проверке секретов для партнеров, передаются непосредственно партнеру без создания оповещения. Дополнительные сведения см. в разделе Шаблоны сканирования секретов.
-
На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Безопасность. Если вкладка "Безопасность" не отображается, выберите раскрывающееся меню и выберите пункт Безопасность.
-
На левой боковой панели в разделе "Оповещения об уязвимостях" щелкните Secret scanning.
-
В разделе "Secret scanning" щелкните оповещение, которое нужно просмотреть.
-
При необходимости, если утечка секрета является маркером GitHub, проверьте допустимость секрета и выполните действия по исправлению.
Примечание: Проверка допустимости маркеров GitHub в настоящее время находится в общедоступной бета-версии и может быть изменена.
GitHub предоставляет сведения о допустимости секрета только для маркеров GitHub.
Срок действия Результат Активный секрет GitHub подтвердил, что этот секрет активен Активный секрет GitHub проверили у поставщика этого секрета и обнаружили, что секрет активен Возможно, активный секрет GitHub пока не поддерживает проверки для этого типа маркера Возможно, активный секрет GitHub не удалось проверить этот секрет Секрет неактивен Убедитесь, что несанкционированный доступ уже не выполнен. -
Чтобы закрыть оповещение, выберите раскрывающееся меню "Закрыть как" и выберите причину устранения оповещения.
-
При необходимости в поле "Комментарий" добавьте комментарий к закрытию. Комментарий о закрытии будет добавлен на временную шкалу оповещений, и он может использоваться в качестве обоснования для аудита или отчетов. На временной шкале оповещений можно просмотреть журнал всех оповещений и примечаний об увольнении. Вы также можете получить или задать комментарий с помощью API Secret scanning. Комментарий содержится в поле
resolution_comment
. Дополнительные сведения см. в разделе Сканирование секретов документации по REST API. -
Щелкните Закрыть оповещение.
Защита скомпрометированных секретов
После фиксации секрета в репозитории следует считать секрет скомпрометированным. GitHub рекомендует следующие действия для скомпрометированных секретов:
-
Для скомпрометированного GitHub personal access token удалите скомпрометированный маркер, создайте новый маркер и обновите все службы, использующие старый маркер. Дополнительные сведения см. в разделе Создание личного маркера доступа.
-
Для всех остальных секретов сначала убедитесь, что секрет, зафиксированный в GitHub, является допустимым. Если это так, создайте новый секрет, обновите все службы, использующие старый секрет, а затем удалите старый секрет.
Примечание. Если секрет обнаружен в общедоступном репозитории на GitHub.com и он также соответствует шаблону партнера, создается оповещение, и потенциальный секрет передается поставщику службы. Дополнительные сведения о шаблонах партнеров см. в разделе Шаблоны сканирования секретов.
Настройка уведомлений для оповещения о проверке секретов
При обнаружении нового секрета GitHub уведомляет всех пользователей, имеющих доступ к оповещениям системы безопасности для репозитория, в соответствии с их настройками уведомлений. Вы получите уведомление по электронной почте, если следите за репозиторием, включили уведомления для оповещений системы безопасности или всех действий в репозитории, а также если являетесь автором фиксации, содержащей секрет, и не пропускаете этот репозиторий.
Дополнительные сведения см. в разделах Управление параметрами безопасности и анализа для репозитория и Настройка уведомлений.