About secret scanning for partners

When secret scanning detects authentication details for a service provider in a public repository on GitHub, an alert is sent directly to the provider. This allows service providers who are GitHub partners to promptly take action to secure their systems.

Кто может использовать эту функцию?

Оповещения о сканировании секретов для партнеров выполняется по умолчанию в следующих репозиториях:

  • Общедоступные репозитории и общедоступные пакеты npm на GitHub

В этой статье

About оповещения о сканировании секретов для партнеров

GitHub scans public repositories and public npm packages for secrets issued by specific service providers who joined our partnership program, and alerts the relevant service provider whenever a secret is detected in a commit. The service provider validates the string and then decides whether they should revoke the secret, issue a new secret, or contact you directly. Their action will depend on the associated risks to you or them. Сведения о нашей партнерской программе см. в разделе Партнерская программа сканирования секретов.

Примечание.

You cannot change the configuration of secret scanning for partner patterns on public repositories.

Оповещения о сканировании секретов для партнеров scans:

  • Описания и комментарии в проблемах
  • Заголовки, описания и комментарии в открытых и закрытых исторических проблемах. Уведомление отправляется соответствующему партнеру при обнаружении шаблона исторического партнера.
  • Заголовки, описания и комментарии в запросах на вытягивание
  • Заголовки, описания и комментарии в GitHub Discussions
  • Вики
  • Секретные сути. Уведомление отправляется соответствующему партнёру, когда в секретной сути обнаруживается паттерн партнёра.

The reason partner alerts are directly sent to the secret providers whenever a leak is detected for one of their secrets is that this enables the provider to take immediate action to protect you and protect their resources. The notification process for regular alerts is different. Regular alerts are displayed on the repository's Security tab on GitHub for you to resolve.

Если для доступа к ресурсу требуются парные учетные данные, при сканировании секретов оповещение создается только в том случае, если обе части пары будут обнаружены в одном файле. Это гарантирует, что данные о частичных утечках не скрывают наиболее критичные утечки. Сопоставление пар также помогает уменьшить ложные срабатывания, так как оба элемента пары должны использоваться вместе для доступа к ресурсу поставщика.

What are the supported secrets

For information about the secrets and service providers supported by push protection, see Поддерживаемые шаблоны сканирования секретов.

Further reading