Устранение неполадок с сканированием секретов

Если у вас возникли проблемы с secret scanning, эти советы помогут устранить проблемы.

Кто может использовать эту функцию?

Secret scanning alerts for partners runs automatically on public repositories and public npm packages to notify service providers about leaked secrets on GitHub.

Secret scanning alerts for users are available for user-owned public repositories for free. Organizations using GitHub Enterprise Cloud with a license for GitHub Advanced Security can also enable secret scanning alerts for users on their private and internal repositories. Additionally, secret scanning alerts for users are available and in beta on user-owned repositories for GitHub Enterprise Cloud with Enterprise Managed Users. For more information, see "About secret scanning" and "About GitHub Advanced Security."

For information about how you can try GitHub Advanced Security for free, see "Setting up a trial of GitHub Advanced Security."

Сканирование на наличие секретов

9 9 в схеме обучения
Дополнительные руководства →

В этой статье

Обнаружение пар шаблонов

Secret scanning будет обнаруживать только пары шаблонов, такие как ключи доступа и секреты AWS, если идентификатор и секрет находятся в одном файле, и оба они отправляются в репозиторий. Сопоставление пар помогает уменьшить ложные срабатывания, так как оба элемента пары (идентификатор и секрет) должны использоваться вместе для доступа к ресурсу поставщика.

Пары, отправленные в разные файлы или не отправленные в один репозиторий, не приводят к оповещениям. Дополнительные сведения о поддерживаемых парах шаблонов см. в таблице "Шаблоны сканирования секретов".

Сведения о устаревших токенах GitHub

Для маркеров GitHub мы проверяем допустимость секрета, чтобы определить, является ли секрет активным или неактивным. Это означает, что для устаревших маркеров secret scanning не обнаруживает GitHub Enterprise Server personal access token на GitHub Enterprise Cloud. Аналогичным образомGitHub Enterprise Cloud personal access token не будет найдено на GitHub Enterprise Server.

Ограничения защиты push-уведомлений

Если защита push-уведомлений не обнаружила секрет, который, по вашему мнению, должно быть обнаружено, то сначала следует проверить, что защита push-уведомлений поддерживает тип секрета в списке поддерживаемых секретов. Дополнительные сведения см. в разделе "Шаблоны сканирования секретов".

Если секрет находится в поддерживаемом списке, существуют различные причины, по которым защита от отправки может не обнаружить ее.

  • Защита от отправки блокирует утечку секретов в подмножестве наиболее определяемых пользователем шаблонов. Участники могут доверять защите безопасности, если такие секреты блокируются, так как это шаблоны с наименьшим числом ложных срабатываний.
  • Версия секрета может быть старой.
  • Отправка может быть слишком большой, например, если вы пытаетесь отправить тысячи больших файлов. Проверка защиты от отправки может истекать и не блокировать пользователя, если отправка слишком велика. GitHub по-прежнему сканирует и создает оповещения, если это необходимо, после отправки.
  • Если отправка приводит к обнаружению более пяти новых секретов, мы покажем вам только первые пять (мы всегда будем показывать вам не более пяти секретов одновременно).
  • Если отправка содержит более 1000 существующих секретов (то есть секретов, для которых уже созданы оповещения), защита от отправки не блокирует отправку.
ПредыдущийОтправка ветви, заблокированной защитой от отправки