管理 secret scanning alerts
注意:仅为启用了 secret scanning alerts for users 的存储库创建警报。 使用免费 secret scanning alerts for partners 服务在公共存储库中发现的机密将直接报告给合作伙伴,而无需创建警报。 有关详细信息,请参阅“合作伙伴警报支持的机密”。
-
在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击“ 安全性”。
-
在左边栏中,单击“Secret scanning 警报”。
-
在“Secret scanning”下,单击要查看的警报。
-
检查机密的有效性并按照修正步骤操作。
注意:GitHub 令牌的验证检查目前为公共 beta 版本,可能会有变动。
GitHub 提供有关机密有效性的信息(仅适用于 GitHub 令牌)。
有效期 结果 活动机密 GitHub 确认此机密处于活动状态 活动机密 GitHub 向此机密的提供者进行了核实,发现此机密处于活动状态 可能处于活动状态的机密 GitHub 尚不支持对此令牌类型进行验证检查 可能处于活动状态的机密 GitHub 无法验证此机密 机密显示为非活动状态 应确保未发生未经授权的访问 -
若要消除警报,请选择“关闭原因”下拉菜单,然后单击原因以解决警报。
-
(可选)添加消除注释。 消除操作注释将添加到警报时间线,可在审核和报告期间用作理由。 可以在警报时间线中查看所有已消除警报和消除注释的历史记录。 还可以使用 Secret scanning API 检索或设置注释。 注释包含在
resolution_comment字段中。 有关详细信息,请参阅 REST API 文档中的“Secret scanning”。
-
单击“关闭警报”。
保护受到威胁的密码
只要密码被提交到仓库,便应视为受到威胁。 GitHub 建议对受到威胁的密码执行以下操作:
-
对于受到威胁的 GitHub personal access token,请删除受到威胁的令牌,创建新令牌,然后更新使用旧令牌的任何服务。 有关详细信息,请参阅“为命令行创建 personal access token”。
- 如果组织属于企业帐户,请标识已泄露令牌对企业资源采取的任何操作。 有关详细信息,请参阅“标识由访问令牌执行的审核日志事件”。
-
对于所有其他机密,请先确认提交到 GitHub Enterprise Cloud 的机密是有效的。 如果有效,请创建新机密,更新使用旧机密的所有服务,然后删除旧机密。
注意:如果在 GitHub.com 上的公共存储库中检测到机密,并且该机密也与合作伙伴模式匹配,则会生成警报,并将潜在的机密报告给服务提供商。 有关合作伙伴模式的详细信息,请参阅“合作伙伴警报支持的机密”。
配置 secret scanning alerts 的通知
当检测到新的机密时,GitHub Enterprise Cloud 会根据用户的通知首选项,通知对存储库安全警报具有访问权限的所有用户。 如果你正在查看存储库,并且已启用安全警报通知或存储库上所有活动的通知,或者你是包含机密的提交的作者并且没有忽略存储库,那么将收到一封电子邮件通知。
有关详细信息,请参阅“管理存储库库的安全性和分析设置”以及“配置通知”。