О запросах на обход защиты от пуша

Узнайте, как работают запросы на обход, когда блоки защиты от пуша фиксируют секреты.

Кто может использовать эту функцию?

  • Владельцы организации
  • Менеджеры по безопасности
  • Пользователи в командах, ролях по умолчанию или пользовательских ролях, добавленных в список обходов.
  • Пользователи, которым назначена настраиваемая роль, с помощью разрешения "просмотр и управление ими secret scanning обхода запросов".

В этой статье

О запросах на обход защиты от пуша

Когда защита от пуша блокирует коммит, содержащий секрет, участникам может понадобиться обойти блок, чтобы завершить свой push. Если делегированный обход для защиты от пуша включен, участники без прав обхода должны подать запрос на обход и ждать одобрения от назначенных рецензентов. Это позволяет организациям поддерживать контроль за безопасностью, одновременно допуская легитимные исключения при необходимости. Дополнительные сведения см. в разделе Сведения о делегированной обходе для защиты от push-уведомлений.

Если делегированный обход для защиты от пуша не включён, участники могут обойти защиту от пуша по своему усмотрению.

При включении делегированного обхода для защиты push-уведомлений владелец организации или администраторы репозитория решают, какие роли или команды могут просматривать (утвердить или запретить) запросы на обход принудительной защиты.

Если вы являетесь назначенным рецензентом, вы должны рассматривать запросы на обход и либо одобрять, либо отклонять их, исходя из деталей запроса и политики безопасности вашей организации.

Как работают запросы на обход

Когда участник без прав обхода запрашивает отправку коммита с секретом, запрос на обход отправляется рецензентам. Назначенная группа рецензентов:

  • Получает уведомление по электронной почте с ссылкой на запрос
  • Проверяет запрос на странице "Обход запросов" репозитория.
  • У него есть 7 дней , чтобы либо одобрить, либо отклонить запрос до истечения срока действия запроса

Информация, доступная рецензентам

GitHub отображает следующую информацию для каждого запроса:

  • Имя пользователя, который попытался выполнить толчок
  • Хранилище, где была предпринята попытка продвижения
  • Коммит хэш пуша
  • Timestamp push
  • Информация о пути и ветвлениях файла (информация о ветках доступна только для отправок на отдельные ветвления)

Результаты

Участник получает уведомление по электронной почте о решении и должен предпринять необходимые действия:

  •         **Если запрос одобрен**: участник может отправить коммит, содержащий секрет, в репозиторий.

  •         **Если запрос отклонён**: участник должен удалить секрет из коммита до успешного отправления коммита в репозиторий.

Автоматические проверки запросов на обход

Вы можете использовать GitHub Apps с детализированными правами для программного просмотра и одобрения запросов на обход защиты от пуша. Это позволяет применять последовательные политики безопасности, интегрироваться с внешними инструментами безопасности или снижать нагрузку на ручную проверку.

Дополнительные сведения о разрешениях см. в разделе "Разрешения организации обходить запросы на сканирование секретов".

Дальнейшие шаги

  • Чтобы узнать, как управлять запросами обхода на защиту от push в качестве рецензента, см. раздел AUTOTITLE.