Skip to main content

Сведения о проверке секретов

GitHub Enterprise Server сканирует репозитории на наличие известных типов секретов, чтобы предотвратить случайную фиксацию секретов.

Secret scanning доступен для принадлежащих организации репозиториев в GitHub Enterprise Server, если у предприятия есть лицензия для GitHub Advanced Security. Дополнительные сведения см. в разделе Сведения о secret scanning на GitHub Enterprise Server и сведения о GitHub Advanced Security.

Примечание: Администратор сайта должен включить secret scanning для your GitHub Enterprise Server instance, прежде чем вы сможете использовать эту функцию. Дополнительные сведения см. в разделе "Настройка secret scanning для устройства".

Сведения о secret scanning

Если проект взаимодействует с внешней службой, для проверки подлинности можно использовать токен или закрытый ключ. Токены и закрытые ключи — это примеры секретов, которые может выдавать поставщик услуг. Если зафиксировать секрет в репозитории, то любой пользователь с правами на чтение в репозитории сможет использовать этот секрет для доступа к внешней службе с вашими привилегиями. Рекомендуется хранить секреты в отдельном безопасном месте вне репозитория для проекта.

Secret scanning сканирует весь журнал Git во всех ветвях, присутствующих в репозитории GitHub, на наличие секретов, даже если репозиторий архивирован.

Поставщики услуг могут сотрудничать с GitHub и предоставлять свои форматы секретов для сканирования. Сведения о нашей партнерской программе см. в статье о партнерской программе Secret scanning в документации по GitHub Enterprise Cloud.

Кроме того, secret scanning можно использовать для принудительной защиты репозитория или организации. При включении этой функции secret scanning запрещает участникам отправлять код с обнаруженным секретом. Чтобы продолжить, участники должны либо удалить секрет или секреты из отправки, либо, если нужно, обойти защиту. Дополнительные сведения: Защита отправок через secret scanning.

Сведения о secret scanning в GitHub Enterprise Server

Secret scanning доступен во всех репозиториях организации в составе GitHub Advanced Security. Эта функция недоступна в репозиториях, принадлежащих пользователю. При включении secret scanning для репозитория GitHub проверяет код на наличие шаблонов, соответствующих секретам, используемым многими поставщиками услуг. При утечке поддерживаемого секрета GitHub Enterprise Server создает оповещение secret scanning. Дополнительные сведения см. в разделе Secret scanning шаблонов".

Если вы являетесь администратором репозитория, вы можете включить secret scanning для любого репозитория, включая архивные репозитории. Владельцы организации также могут включить secret scanning для всех репозиториев или для всех новых репозиториев в организации. Дополнительные сведения см. в статьях Управление параметрами безопасности и анализа для репозитория и Управление параметрами безопасности и анализа для организации.

Для репозитория, организации или предприятия можно также определить пользовательские шаблоны secret scanning. Дополнительные сведения см. в разделе Определение пользовательских шаблонов для secret scanning.

Доступ к secret scanning alerts

При включении secret scanning для репозитория или принудительной фиксации в репозитории с включенным secret scanning GitHub проверяет содержимое этих фиксаций на наличие секретов, соответствующих шаблонам, определенным поставщиками услуг, и любым пользовательским шаблонам, определенным в вашем предприятии, организации или репозитории.

Если secret scanning обнаруживает секрет, GitHub выдает оповещение.

  • GitHub отправляет оповещение по электронной почте администраторам репозитория и владельцам организации. Вы получите оповещение, если просматриваете репозиторий и включили уведомления для оповещений системы безопасности или для всех действий в репозитории.
  • Если участник, зафиксивший секрет, не игнорирует репозиторий, GitHub также отправит ей оповещение по электронной почте. Сообщения электронной почты содержат ссылку на связанное оповещение secret scanning. После этого автор фиксации может просмотреть оповещение в репозитории и отметить его как решенное.
  • GitHub отображает оповещение на вкладке Безопасность репозитория.

Дополнительные сведения о просмотре и разрешении secret scanning alerts см. в разделе Управление оповещениями из secret scanning.

Администраторы репозитория и владельцы организации могут предоставлять пользователям и командам доступ к secret scanning alerts. Дополнительные сведения см. в статье Управление параметрами безопасности и анализа для репозитория.

Вы можете использовать обзор безопасности, чтобы просмотреть представление на уровне организации о том, какие репозитории включили secret scanning и обнаруженные оповещения. Дополнительные сведения см. в статье Просмотр общих сведений о безопасности.

Вы также можете использовать REST API для мониторинга результатов из secret scanning в репозиториях или организации. Дополнительные сведения о конечных точках API см. в статье Secret scanning.

Дополнительные материалы