关于有效性检查
可以为标识为存储库服务提供方令牌的机密启用有效性检查。 启用后,GitHub 将定期检查已检测到的凭据的有效性,方法是将机密直接发送到提供程序,作为 GitHub 机密扫描合作关系计划的一部分。 要了解我们的合作伙伴计划,请参阅“密码扫描合作伙伴计划”。
GitHub 在警报视图中显示机密的验证状态,因此你可以看到机密为 active 还是 inactive 或验证状态是否为 unknown。 可以选择在警报视图中对机密执行“按需”有效性检查。
另外,还可以选择为合作伙伴模式启用验证检查。 启用后,GitHub 将定期检查已检测到的凭据的有效性,方法是将机密直接发送到提供程序,作为 GitHub 的正式机密扫描伙伴关系计划的一部分。 GitHub 通常会发出 GET 请求,以检查凭据的有效性,挑选最不易入侵的终结点,并选择不返回任何个人信息的终结点。
GitHub 在警报视图中显示机密的验证状态。
可以按警报页上的验证状态进行筛选,以帮助确定需要对其执行操作的警报的优先级。
Note
GitHub 通常会发出 GET 请求,以检查凭据的有效性,挑选最不易入侵的终结点,并选择不返回任何个人信息的终结点。
有关使用有效性检查的详细信息,请参阅“评估来自机密扫描的警报”。
启用有效性检查
-
在 GitHub 上,导航到存储库的主页面。
-
在存储库名称下,单击 “设置”。 如果看不到“设置”选项卡,请选择“”下拉菜单,然后单击“设置”。
-
在边栏的“安全性”部分中,单击“ 代码安全性和分析”。
-
在 Secret scanning 下,选中“通过将机密发送给相关合作伙伴自动验证其是否有效”旁边的复选框。
还可以使用 REST API 为存储库的合作伙伴模式启用有效性检查。 有关详细信息,请参阅“存储库的 REST API 终结点”。
或者,组织所有者和企业管理员可以为组织或企业设置中的所有存储库启用此功能。 有关在组织级别启用的详细信息,请参阅“删除自定义安全配置”。 有关在企业级别启用的详细信息,请参阅“管理企业的 GitHub Advanced Security 功能”和“适用于企业代码安全性和分析的 REST API 终结点”。