Skip to main content

关于机密扫描警报

了解不同类型的 机密扫描警报。

谁可以使用此功能?

具有管理员角色的存储库所有者、组织所有者、安全管理员和用户

Secret scanning 可用于以下存储库:

  • 公共存储库(免费)
  • 使用启用了 GitHub Advanced Security 的 GitHub Enterprise Cloud 的组织中的专用存储库和内部存储库
  • GitHub Enterprise Cloud 的用户拥有的存储库,包含 Enterprise Managed Users

关于警报的类型

有两种类型的 机密扫描警报:

  • 机密扫描警报:在存储库中检测到支持的机密时,在存储库的安全选项卡中向用户报告。
  • 推送保护警报:当参与者绕过推送保护时,在存储库的安全选项卡中向用户报告。
  • 合作伙伴警报:直接向属于 secret scanning 合作伙伴计划的机密提供方报告。 这些警报不会在存储库的安全选项卡中报告。

关于用户警报

当 GitHub 在启用了 secret scanning 的存储库中检测到支持的机密时,将生成用户警报并在存储库的“安全性”**** 选项卡中显示。

User 警报可以是以下类型:

  • 默认的 警报,这些警报与支持的模式和指定的自定义模式相关。
  • 试验性 警报,它们可以具有测试中使用的误报或机密比率。

GitHub 在与 默认的 警报不同的列表中显示这些 试验性 警报,从而为用户提供更好的分类体验。 有关详细信息,请参阅“查看和筛选机密扫描警报”。

如果访问资源需要配对的凭据,则只有在同一文件中检测到该配对的两个凭据时,机密扫描才会创建警报。 这可确保最关键的泄漏不会隐藏在有关部分泄漏的信息后面。 对匹配还有助于减少误报,因为对的两个元素必须一起使用才能访问提供商的资源。

关于推送保护警报

推送保护会扫描所支持机密的推送。 如果推送保护检测到支持的机密,它将阻止推送。 参与者绕过推送保护将机密推送到存储库时,将生成推送保护警报并在存储库的“安全性”**** 选项卡中显示。 要查看存储库的所有推送保护警报,必须在警报页上按 bypassed: true 进行筛选。 有关详细信息,请参阅“查看和筛选机密扫描警报”。

如果访问资源需要配对的凭据,则只有在同一文件中检测到该配对的两个凭据时,机密扫描才会创建警报。 这可确保最关键的泄漏不会隐藏在有关部分泄漏的信息后面。 对匹配还有助于减少误报,因为对的两个元素必须一起使用才能访问提供商的资源。

Note

还可以为个人帐户启用推送保护(称为“用户的推送保护”),从而阻止意外将支持的机密推送到任何__ 公共存储库。 如果选择仅绕过基于用户的推送保护,则不会__ 创建警报。 仅当存储库本身已启用推送保护时,才会创建警报。 有关详细信息,请参阅 用户的推送保护

推送保护可能不支持某些旧版令牌,因为这些令牌生成的误报数可能高于其最新版本。 推送保护也可能不适用于旧令牌。 对于 Azure 存储密钥等令牌,GitHub 仅支持“最近创建”令牌,不支持与旧模式匹配的令牌。 有关推送保护限制的详细信息,请参阅 排查机密扫描问题

关于合作伙伴警报

当 GitHub 检测到公共存储库或 npm 包中泄露的机密时,如果机密提供程序是 GitHub 机密扫描合作伙伴计划的一部分,则会将警报直接发送到机密提供程序。 有关 合作伙伴的机密扫描警报 的详细信息,请参阅 密码扫描合作伙伴计划支持的机密扫描模式

合作伙伴警报不会发送给存储库管理员,因此无需对此类警报采取任何措施。

后续步骤

其他阅读材料