关于 secret scanning
如果有人将使用已知模式的机密签入存储库,secret scanning 会在签入机密时对其进行捕获,帮助降低机密被泄的影响。 存储库管理员会收到包含机密的任何提交的通知,然后他们可在存储库的“安全性”选项卡中快速查看所有检测到的机密。 请参阅“关于机密扫描”。
检查您的许可是否包含 GitHub Advanced Security
可通过查看企业设置来识别企业是否具有 GitHub Advanced Security 许可证。 有关详细信息,请参阅“为企业启用 GitHub 高级安全性”。
secret scanning 的前提条件
-
需要在运行 GitHub Enterprise Server 的 VM/KVM 上启用 SSSE3(补充流式处理 SIMD 扩展 3)CPU 标志。 有关 SSSE3 的详细信息,请参阅 Intel 文档中的 Intel 64 和 IA-32 体系结构优化参考手册。
-
GitHub Advanced Security 的许可证(请参阅“关于 GitHub 高级安全的计费”)
-
在管理控制台中启用的 Secret scanning(请参阅“为企业启用 GitHub 高级安全性”)
检查您的 vCPU 上的 SSSE3 标志的支持
SSSE3 指令集是必需的,因为 secret scanning 利用硬件加速模式匹配来查找提交给 GitHub 仓库的潜在凭据。 大多数现代 CPU 都启用了 SSSE3。 您可以检查您的 GitHub Enterprise Server 实例的可用 vCPU 是否启用了 SSSE3。
-
连接到 GitHub Enterprise Server 实例的管理 shell。 请参阅“访问管理 shell (SSH)”。
-
输入以下命令:
grep -iE '^flags.*ssse3' /proc/cpuinfo >/dev/null | echo $?
如果返回值
0
,则意味着 SSSE3 标志可用并且已启用。 现在可以启用 secret scanning。 请参阅下面的“启用 secret scanning”如果不返回
0
,则 SSSE3 未在 VM/KVM 上启用。 您需要参考硬件/虚拟机监控程序的文档,以了解如何启用该标志,或者如何使其可用于访客 VM。
启用 secret scanning
Warning
- 更改此设置将导致 GitHub Enterprise Server 上面向用户的服务重新启动。 你应仔细安排此更改的时间,以最大程度地减少用户的停机时间。
- 在更改功能启用设置之前,你应该与组织所有者沟通你计划进行的任何更改,以免影响企业中组织已推出的现有安全配置。
-
在 GitHub Enterprise Server 上的管理帐户中,在任一页面的右上角,单击 。
-
如果你尚未在“站点管理员”页上,请在左上角单击“站点管理员”。
-
在“ 站点管理”边栏中,单击“管理控制台”。
-
在“设置”边栏中,单击“安全”。
-
在“安全”下,选择 Secret scanning。
-
在“设置”边栏下,单击“保存设置”。
Note
保存 管理控制台 中的设置会重启系统服务,这可能会导致用户可察觉的停机时间。
-
等待配置运行完毕。
禁用 secret scanning
Warning
- 更改此设置将导致 GitHub Enterprise Server 上面向用户的服务重新启动。 你应仔细安排此更改的时间,以最大程度地减少用户的停机时间。
- 在更改功能启用设置之前,你应该与组织所有者沟通你计划进行的任何更改,以免影响企业中组织已推出的现有安全配置。
-
在 GitHub Enterprise Server 上的管理帐户中,在任一页面的右上角,单击 。
-
如果你尚未在“站点管理员”页上,请在左上角单击“站点管理员”。
-
在“ 站点管理”边栏中,单击“管理控制台”。
-
在“设置”边栏中,单击“安全”。
-
在“安全”下,取消选择 Secret scanning。
-
在“设置”边栏下,单击“保存设置”。
Note
保存 管理控制台 中的设置会重启系统服务,这可能会导致用户可察觉的停机时间。
-
等待配置运行完毕。