Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы, возможно, еще выполняется. Актуальные сведения см. в документации на английском языке.
All products
Безопасность кода

Сведения о проверке секретов

В этой статье

GitHub Enterprise Cloud сканирует репозитории на наличие известных типов секретов, чтобы предотвратить случайную фиксацию секретов.

Оповещения о проверке секретов для партнеров автоматически запускается в общедоступных репозиториях для уведомления поставщиков служб об утечке секретов в GitHub.com.

Оповещения о проверке секретов для пользователей доступны бесплатно во всех общедоступных репозиториях. Организации, использующие GitHub Enterprise Cloud с лицензией на GitHub Advanced Security, также могут включить Оповещения проверки секретов для пользователей в своих частных и внутренних репозиториях. Дополнительные сведения см. в разделах "Сведения о проверке секретов" и "Сведения о GitHub Advanced Security".

Сведения о secret scanning

Если проект взаимодействует с внешней службой, для проверки подлинности можно использовать токен или закрытый ключ. Токены и закрытые ключи — это примеры секретов, которые может выдавать поставщик услуг. Если зафиксировать секрет в репозитории, то любой пользователь с правами на чтение в репозитории сможет использовать этот секрет для доступа к внешней службе с вашими привилегиями. Рекомендуется хранить секреты в отдельном безопасном месте вне репозитория для проекта.

Secret scanning сканирует весь журнал Git во всех ветвях, присутствующих в репозитории GitHub, на наличие секретов, даже если репозиторий архивирован. Secret scanning также анализирует описания проблем и комментарии для секретов.

Secret scanning доступно в GitHub.com в двух формах:

  1. Оповещения о проверке секретов для партнеров. Выполняется автоматически во всех общедоступных репозиториях. Все строки, которые соответствуют шаблонам, предоставленным партнерами по проверке секретов, передаются непосредственно соответствующему партнеру. Дополнительные сведения см. в разделе "Сведения о оповещения о проверке секретов для партнеров" ниже.

  2. Оповещения о проверке секретов для пользователей. Вы можете включить и настроить дополнительное сканирование для репозиториев, принадлежащих организациям, которые используют GitHub Enterprise Cloud для любых общедоступных репозиториев (бесплатно), а также для частных и внутренних репозиториев при наличии лицензии на GitHub Advanced Security.

    Все строки, которые соответствуют шаблонам, предоставленным партнерами по проверке секретов, другими поставщиками услуг или определенными вами или вашей организацией, отображаются как оповещения на вкладке Безопасность репозиториев. Если строка в общедоступном репозитории соответствует шаблону партнера, она также передается партнеру. Дополнительные сведения см. в разделе "Сведения о Оповещения проверки секретов для пользователей" ниже.

You can audit the actions taken in response to secret scanning alerts using GitHub tools. For more information, see "Аудит оповещений системы безопасности."

Поставщики услуг могут сотрудничать с GitHub и предоставлять свои форматы секретов для сканирования. Сведения о нашей партнерской программе см. в разделе Партнерская программа сканирования секретов.

Кроме того, secret scanning можно использовать для принудительной защиты репозитория или организации. При включении этой функции secret scanning запрещает участникам отправлять код с обнаруженным секретом. Чтобы продолжить, участники должны либо удалить секрет или секреты из отправки, либо, если нужно, обойти защиту. Администраторы также могут указать настраиваемую ссылку, которая будет отображаться участнику при блокировке отправки. Эта ссылка может содержать относящиеся к организации ресурсы, которые помогут участникам. Дополнительные сведения см. в разделе Защита отправок с помощью сканирования секретов.

Сведения о оповещения о проверке секретов для партнеров

Когда вы делаете репозиторий общедоступным или отправляете изменения в общедоступный репозиторий, GitHub Enterprise Cloud всегда проверяет код на наличие секретов, соответствующих шаблонам партнеров. Secret scanning также анализирует описания проблем и комментарии для секретов. Если secret scanning обнаруживает потенциальный секрет, мы уведомим поставщика услуг, выпустившего секрет. Поставщик услуг проверяет строку и решает, следует ли ему отозвать секрет, выдать новый или связаться с вами напрямую. Его действие будет зависеть от того, какие риски при возникают для него или для вас. Дополнительные сведения см. в разделе Шаблоны сканирования секретов.

Вы не можете изменить конфигурацию secret scanning для шаблонов партнеров в общедоступных репозиториях.

Сведения о Оповещения проверки секретов для пользователей

Оповещения о проверке секретов для пользователей доступны бесплатно во всех общедоступных репозиториях и для частных и внутренних репозиториев, принадлежащих организациям, использующим GitHub Enterprise Cloud с лицензией на GitHub Advanced Security. При включении secret scanning для репозитория GitHub проверяет код на наличие шаблонов, соответствующих секретам, используемым многими поставщиками услуг. Secret scanning также анализирует описания проблем и комментарии для секретов. При утечке поддерживаемого секрета GitHub Enterprise Cloud создает оповещение secret scanning. GitHub также будет периодически выполнять полное сканирование журнала Git существующего содержимого в GitHub Advanced Security репозиториев, где включено secret scanning, и отправлять уведомления об оповещении с помощью параметров уведомлений об оповещении secret scanning. Дополнительные сведения см. в разделе Поддерживаемые секреты для пользовательских оповещений".

Примечание. Secret scanning для описания проблем и комментариев находится в общедоступной бета-версии и может быть изменен.

Если вы являетесь администратором репозитория, вы можете включить Оповещения проверки секретов для пользователей для любого репозитория, включая архивные репозитории. Владельцы организации также могут включить Оповещения проверки секретов для пользователей для всех репозиториев или для всех новых репозиториев в организации. Дополнительные сведения см. в разделах Управление параметрами безопасности и анализа для репозитория и Управление параметрами безопасности и анализа для организации.

Для репозитория, организации или предприятия можно также определить пользовательские шаблоны secret scanning. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для проверки секретов.

GitHub хранит обнаруженные секреты с помощью симметричного шифрования как при передаче, так и при хранении.

Доступ к оповещения о проверке секретов

При включении secret scanning для репозитория или принудительной фиксации в репозитории с включенным secret scanning GitHub проверяет содержимое этих фиксаций на наличие секретов, соответствующих шаблонам, определенным поставщиками услуг, и любым пользовательским шаблонам, определенным в вашем предприятии, организации или репозитории. Secret scanning также анализирует описания проблем и комментарии для секретов. GitHub также выполняет сканирование всего исторического содержимого в репозиториях с включенным secret scanning при добавлении или обновлении нового партнерского шаблона или пользовательского шаблона.

Если secret scanning обнаруживает секрет, GitHub выдает оповещение.

  • GitHub отправляет оповещение по электронной почте администраторам репозитория и владельцам организации. Вы получите оповещение, если просматриваете репозиторий, , если вы включили уведомления для оповещений системы безопасности или для всех действий в репозитории, и если в параметрах уведомлений вы выбрали получение уведомлений по электронной почте для просматриваемых репозиториев.
  • Если участник, зафиксивший секрет, не игнорирует репозиторий, GitHub также отправит ей оповещение по электронной почте. Сообщения электронной почты содержат ссылку на связанное оповещение secret scanning. После этого автор фиксации может просмотреть оповещение в репозитории и отметить его как решенное.
  • GitHub отображает оповещение на вкладке Безопасность репозитория.

Дополнительные сведения о просмотре и разрешении оповещения о проверке секретов см. в разделе Управление оповещениями о проверке секретов.

Дополнительные сведения о настройке уведомлений для оповещения о проверке секретов см. в разделе Настройка уведомлений для оповещений проверки секретов.

Администраторы репозитория и владельцы организации могут предоставлять пользователям и командам доступ к оповещения о проверке секретов. Дополнительные сведения см. в разделе Управление параметрами безопасности и анализа для репозитория.

Вы можете использовать обзор безопасности, чтобы просмотреть представление на уровне организации о том, какие репозитории включили secret scanning и обнаруженные оповещения. Дополнительные сведения см. в разделе Просмотр обзора безопасности.

Вы также можете использовать REST API для мониторинга результатов из secret scanning в репозиториях. Дополнительные сведения о конечных точках API см. в разделе Сканирование секретов.

Дополнительные материалы