Skip to main content

评估来自机密扫描的警报

了解有助于评估警报并确定其修正优先级的其他功能,例如检查机密的有效性。

谁可以使用此功能?

具有管理员角色的存储库所有者、组织所有者、安全管理员和用户

关于评估警报

有一些其他功能可以帮助你评估警报,以便更好地排列警报优先级和管理警报。 您可以:

  • 检查机密的有效性,了解机密是否仍处于活动状态。 有关详细信息,请参阅检查机密的有效性
  • 执行“按需”有效性检查,以获取最新的验证状态。 有关详细信息,请参阅执行按需有效性检查
  • 查看令牌的元数据。 仅适用于 GitHub 令牌。 例如查看上次使用令牌的时间。 有关详细信息,请参阅查看 GitHub 令牌元数据
  • 查看分配给警报的标签。 有关详细信息,请参阅查看警报标签

检查机密的有效性

验证检查让您知道哪些机密属于 activeinactive 机密,帮助你排列 警报优先级。 active 机密是仍可能被利用的机密,因此应该优先审查和修正它们的警报。

默认情况下,GitHub 检查 GitHub 令牌的有效性,并在警报视图中显示令牌的验证状态。

有效期Status结果
活动机密activeGitHub 向此机密的提供者进行了核实,发现此机密处于活动状态
可能处于活动状态的机密unknownGitHub 尚不支持对此令牌类型进行验证检查
可能处于活动状态的机密unknownGitHub 无法验证此机密
机密处于非活动状态inactive应确保未发生未经授权的访问

GitHub 上所有类型的存储库都提供针对合作伙伴模式的有效性检查。 若要使用此功能,必须具有 GitHub Advanced Security 的授权许可。

有关如何为合作伙伴模式启用验证检查的信息,请参阅 为存储库启用有效性检查,有关当前支持哪些合作伙伴模式的信息,请参阅 支持的机密扫描模式

可以使用 REST API 检索每个令牌的最新验证状态的列表。 有关详细信息,请参阅 REST API 文档中的 适用于机密扫描的 REST API 终结点。 还可以使用 Webhook 来通知与 secret scanning 警报相关的活动。 有关详细信息,请参阅 Webhook 事件和有效负载 中的 secret_scanning_alert 事件。

向 GitHub Copilot Chat 询问有关 secret scanning 警报的问题

使用 GitHub Copilot Enterprise 许可证,可以向 Copilot Chat 寻求帮助,以更好地了解组织中存储库中的安全警报,包括 secret scanning 警报。 有关详细信息,请参阅“在 GitHub 中向 GitHub Copilot 提问”。

执行按需验证检查

如果为存储库启用了合作伙伴模式的验证检查,则可通过单击警报视图中的 “验证机密”****,对任何受支持的机密执行“按需”验证检查。 GitHub 将模式发送给相关合作伙伴,并在警报视图中显示机密的验证状态。

显示 secret scanning 警报的用户界面的屏幕截图。 标有“验证机密”的按钮以橙色轮廓突出显示。

查看 GitHub 令牌元数据

Note

GitHub 令牌的元数据目前为 公共预览版,可能会更改。

在活动的 GitHub 令牌警报视图中,可以查看有关令牌的某些元数据。 此元数据可以帮助你识别令牌,并确定要采取的修正步骤。

令牌(如personal access token和其他凭据)被视为个人信息。 有关使用 GitHub令牌的详细信息,请参阅 GitHub 的隐私声明可接受的使用政策

GitHub 令牌的 UI 的屏幕截图,其中显示了令牌元数据。

GitHub 令牌的元数据可用于任何启用了机密扫描的存储库的活动令牌。 如果令牌已被撤销或无法验证其状态,则元数据将不可用。 GitHub 会自动撤销公共存储库中的 GitHub 令牌,因此公共存储库中 GitHub 令牌的元数据极有可能不可用。 以下元数据可用于活动的 GitHub 令牌:

元数据描述
机密名称GitHub 令牌的创建者为该令牌提供的名称
机密所有者令牌所有者的 GitHub 句柄
创建时间令牌的创建日期
过期日期令牌的过期日期
上次使用时间上次使用令牌的日期
访问令牌是否具有组织访问权限

只有对包含已泄露机密的存储库具有管理员权限的人员才能查看安全警报详细信息和警报的令牌元数据。 企业所有者可以出于此目的请求对存储库的临时访问权限。如果授予访问权限,GitHub 将通知包含已泄露机密的仓库的所有者,在仓库所有者和企业审核日志中报告该操作,并将访问权限启用 2 小时。有关详细信息,请参阅 访问企业中用户拥有的存储库

查看警报标签

在警报视图中,可以查看分配给警报的任何标签。 这些标签提供有关警报的其他详细信息,可以为你采取的修正方法提供参考。

可以向 Secret scanning 警报分配以下标签。 根据分配的标签,将在警报视图中看到其他信息。

Label说明警报视图信息
public leak存储库中检测到的机密也被发现至少在 GitHub 对代码、讨论、Gist、问题、拉取请求和 wiki 的扫描中公开泄露过一次。 这可能要求你以更紧急的方式解决警报,或者用与私下暴露的令牌不同的方式补救警报。你将看到指向检测到泄露机密的任何特定公共位置的链接。
multi-repo在你的组织或企业中的多个存储库中都发现了在存储库中检测到的机密。 此信息可能有助于你更轻松地在整个组织或企业内对警报进行重复数据消除。如果您拥有适当的权限,则将看到指向你的组织或企业中同一机密的任何特定警报的链接。

后续步骤