关于 secret scanning 警报页
在为存储库启用 secret scanning 或将提交推送到启用了 secret scanning 的存储库时,GitHub 会扫描内容,以查找与服务提供商定义的模式以及企业、组织或存储库中定义的任何自定义模式匹配的机密。
当 secret scanning 检测到机密时,GitHub 将生成警报。 GitHub 在存储库的“安全性”选项卡中显示警报。
为了帮助你更有效地对警报进行会审,GitHub 将警报分为两个列表:
- 高置信度警报。
- 其他警报。
高置信度警报列表
“高置信度”警报列表显示与支持的模式和指定的自定义模式相关的警报。 此列表始终是警报页面的默认视图。
“其他”警报列表
“其他”警报列表显示与非提供程序模式(如私钥)。 这些类型警报的误报率较高。
此外还显示属于以下类别的警报:
- 每个存储库的数量限制为 5000 个警报(这包括打开和关闭的警报)。
- 不显示在安全概览的摘要视图中,仅在“Secret scanning”视图中显示。
- 对于非提供程序模式 ,仅显示第一个检测到的位置。
若要让 GitHub 扫描非提供程序模式 ,必须为存储库或组织启用 。 有关详细信息,请参阅 为非提供程序模式启用机密扫描。
查看警报
secret scanning 的警报显示在存储库的“安全”选项卡下。
- 在 GitHub 上,导航到存储库的主页面。
- 在存储库名称下,单击“ 安全性”。 如果看不到“安全性”选项卡,请选择 下拉菜单并单击“安全性” 。
- 在左边栏的“漏洞警报”下,单击“Secret scanning”。
- (可选)切换到 “其他” 警报,可查看非提供程序模式的警报 。
- 在“Secret scanning”下,单击要查看的警报。
筛选警报
可将各种筛选器应用于警报列表,帮助找到你要查看的警报。 可以使用警报列表上方的下拉菜单,或在搜索栏中输入表中列出的限定符。
Qualifier | 说明 |
---|---|
is:open | 显示打开的警报。 |
is:closed | 显示关闭的警报。 |
validity:active | 显示已知处于活动状态的机密的警报。 有关有效性状态的详细信息,请参阅 评估来自机密扫描的警报。 |
validity:inactive | 显示不再处于活动状态的机密的警报。 |
validity:unknown | 显示有效性状态未知的机密的警报。 |
secret-type:SECRET-NAME | 显示特定机密类型的警报,例如 secret-type:github_personal_access_token 。 有关支持的机密类型的列表,请参阅 支持的机密扫描模式。 |
provider:PROVIDER-NAME | 显示特定提供程序的警报,例如 provider:github 。 有关支持的合作伙伴的列表,请参阅 支持的机密扫描模式。 |
confidence:high | 显示 高置信度机密的警报,这些警报与 支持的机密和自定义模式相关。 有关支持的模式的列表,请参阅 支持的机密扫描模式。 |
confidence:other | 显示非提供程序模式(如私钥)。 有关支持的非提供程序模式的列表,请参阅 支持的机密扫描模式。 |