Skip to main content

管理来自机密扫描的警报

您可以查看并关闭已检入仓库的密码的警报。

Who can use this feature

People with admin access to a repository can view and dismiss secret scanning alerts for the repository.

Secret scanning alerts for partners 自动在所有公共存储库上运行。 如果你拥有 GitHub Advanced Security 的许可证,则可以为组织拥有的任何存储库启用和配置 secret scanning alerts for users。

如果你的企业拥有 GitHub Advanced Security 的许可证,则 有关详细信息,请参阅“关于 secret scanning alerts for users”和“关于 GitHub Advanced Security”。

管理 secret scanning alerts

注意:仅为启用了 secret scanning alerts for users 的存储库创建警报。 使用免费 secret scanning alerts for partners 服务在公共存储库中发现的机密将直接报告给合作伙伴,而无需创建警报。 有关详细信息,请参阅“合作伙伴警报支持的机密”。

  1. 在 GitHub.com 上,导航到存储库的主页。 1. 在存储库名称下,单击“ 安全性”。 “安全”选项卡

  2. 在左侧边栏中,单击“机密扫描警报”。 “机密扫描警报”选项卡

  3. 在“Secret scanning(密码扫描)”下,单击要查看的警报。 来自机密扫描的警报列表

  4. 若要消除警报,请选择“消除警报”下拉菜单,然后单击原因以解决警报。

    用于消除来自机密扫描的警报的下拉菜单的屏幕截图,其中显示了指向合作伙伴文档的链接

  5. (可选)添加消除注释。 消除操作注释将添加到警报时间线,可在审核和报告期间用作理由。 可以在警报时间线中查看所有已消除警报和消除注释的历史记录。 还可以使用 Secret scanning API 检索或设置注释。 注释包含在 resolution_comment 字段中。 有关详细信息,请参阅 REST API 文档中的“Secret scanning”。

    显示如何通过“消除警报”下拉列表消除警报的屏幕截图,该下拉列表中包含用于添加消除注释的选项

  6. 单击“消除警报”。

保护受到威胁的密码

只要密码被提交到仓库,便应视为受到威胁。 GitHub 建议对受到威胁的密码执行以下操作:

  • 对于受到威胁的 GitHub personal access token,请删除受到威胁的令牌,创建新令牌,然后更新使用旧令牌的任何服务。 有关详细信息,请参阅“为命令行创建 personal access token”。

  • 对于所有其他机密,请先确认提交到 GitHub Enterprise Cloud 的机密是有效的。 如果有效,请创建新机密,更新使用旧机密的所有服务,然后删除旧机密。

注意:如果在 GitHub.com 上的公共存储库中检测到机密,并且该机密也与合作伙伴模式匹配,则会生成警报,并将潜在的机密报告给服务提供商。 有关合作伙伴模式的详细信息,请参阅“合作伙伴警报支持的机密”。

配置 secret scanning alerts 的通知

当检测到新的机密时,GitHub Enterprise Cloud 会根据用户的通知首选项,通知对存储库安全警报具有访问权限的所有用户。 如果你正在查看存储库,并且已启用安全警报通知或存储库上所有活动的通知,或者你是包含机密的提交的作者并且没有忽略存储库,那么将收到一封电子邮件通知。

有关详细信息,请参阅“管理存储库库的安全性和分析设置”以及“配置通知”。