管理 机密扫描警报
注意:仅为启用了 用户的机密扫描警报 的存储库创建警报。 使用免费 合作伙伴的机密扫描警报 服务在公共存储库中发现的机密将直接报告给合作伙伴,而无需创建警报。 有关详细信息,请参阅“机密扫描模式”。
-
在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击“ 安全性”。 如果看不到“安全性”选项卡,请选择 下拉菜单并单击“安全性” 。
-
在左边栏的“漏洞警报”下,单击“Secret scanning”。
-
在“Secret scanning”下,单击要查看的警报。
-
(可选)如果泄露的机密是 GitHub 令牌,请检查该机密的有效性并按照修正步骤操作。
注意:GitHub 令牌的验证检查目前为公共 beta 版本,可能会有变动。
GitHub 提供有关机密有效性的信息(仅适用于 GitHub 令牌)。
有效期 结果 活动机密 GitHub 确认此机密处于活动状态 活动机密 GitHub 向此机密的提供者进行了核实,发现此机密处于活动状态 可能处于活动状态的机密 GitHub 尚不支持对此令牌类型进行验证检查 可能处于活动状态的机密 GitHub 无法验证此机密 机密显示为非活动状态 应确保未发生未经授权的访问 -
若要消除警报,请选择“关闭原因”下拉菜单,然后单击原因以解决警报。
-
(可选)在“注释”字段中,添加消除注释。 消除操作注释将添加到警报时间线,可在审核和报告期间用作理由。 可以在警报时间线中查看所有已消除警报和消除注释的历史记录。 还可以使用 Secret scanning API 检索或设置注释。 注释包含在
resolution_comment
字段中。 有关详细信息,请参阅 REST API 文档中的“机密扫描”。 -
单击“关闭警报”。
保护受到威胁的密码
只要密码被提交到仓库,便应视为受到威胁。 GitHub 建议对受到威胁的密码执行以下操作:
-
对于受到威胁的 GitHub personal access token,请删除受到威胁的令牌,创建新令牌,然后更新使用旧令牌的任何服务。 有关详细信息,请参阅“创建个人访问令牌”。
-
对于所有其他机密,请先确认提交到 GitHub 的机密是有效的。 如果有效,请创建新机密,更新使用旧机密的所有服务,然后删除旧机密。
注意:如果在 GitHub.com 上的公共存储库中检测到机密,并且该机密也与合作伙伴模式匹配,则会生成警报,并将潜在的机密报告给服务提供商。 有关合作伙伴模式的详细信息,请参阅“机密扫描模式”。
配置 机密扫描警报 的通知
When a new secret is detected, GitHub notifies all users with access to security alerts for the repository according to their notification preferences. You will receive an email notification if:
- you are watching the repository.
- you have enabled notifications for "All Activity", or for custom "Security alerts" on the repository.
- in your notification settings, under "Subscriptions", then under "Watching", you have selected to receive notifications by email.
You will also be notified if you are the author of the commit that contains the secret and you are not ignoring the repository.
-
在 GitHub.com 上,导航到存储库的主页。
-
若要开始监视存储库,请选择“监视”。
-
在下拉菜单中,单击“所有活动”。 或者,若要仅订阅安全警报,请单击“自定义”,然后单击“安全警报”。
-
导航到个人帐户的通知设置。 这些可在 https://github.com/settings/notifications 中找到。
-
在通知设置页上,在“订阅”下,然后在“正在监视”下,选择“通知我”下拉列表。
-
选择“电子邮件”作为通知选项,然后单击“保存”。
有关详细信息,请参阅“管理存储库的安全和分析设置”和“为单个存储库配置监视设置”。
审核对机密扫描警报的响应
可以使用 GitHub 工具审核为响应secret scanning警报而执行的操作。 有关详细信息,请参阅“审核安全警报”。