Область обнаружения секретного сканирования

Секретное сканирование использует сопоставление и валидацию шаблонов для обнаружения секретов. Обнаружение зависит от пар паттернов, типов токенов и настроек защиты от пуша.

Кто может использовать эту функцию?

Secret scanning доступен для следующих типов репозитория:

  •         **Публичные репозитории**: Secret scanning запускается автоматически бесплатно.

  •         **Частные и внутренние репозитории, принадлежащие организации**: доступны с [включённым GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) на GitHub Team или GitHub Enterprise Cloud.

  •         **Пользовательские репозитории**: доступны на GitHub Enterprise Cloud с Enterprise Managed Users. Доступно на GitHub Enterprise Server, когда у предприятия [включён GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) .

В этой статье

Обнаружение пар шаблонов

Secret scanning будет обнаруживать только пары шаблонов, такие как ключи доступа и секреты AWS, если идентификатор и секрет находятся в одном файле, и оба они отправляются в репозиторий. Сопоставление пар помогает уменьшить ложные срабатывания, так как оба элемента пары (идентификатор и секрет) должны использоваться вместе для доступа к ресурсу поставщика.

Пары, отправленные в разные файлы или не отправленные в один репозиторий, не приводят к оповещениям. Дополнительные сведения о поддерживаемых парах шаблонов см. в таблице в Поддерживаемые шаблоны сканирования секретов.

Сведения о устаревших токенах GitHub

Для маркеров GitHub мы проверяем допустимость секрета, чтобы определить, является ли секрет активным или неактивным. Это означает, что для устаревших маркеров secret scanning не обнаруживает GitHub Enterprise Server personal access token на GitHub Enterprise Cloud. Аналогичным образомGitHub Enterprise Cloud personal access token не будет найдено на GitHub Enterprise Server.

Ограничения защиты push-уведомлений

Если защита push-уведомлений не обнаружила секрет, который, по вашему мнению, должно быть обнаружено, то сначала следует проверить, что защита push-уведомлений поддерживает тип секрета в списке поддерживаемых секретов. Дополнительные сведения см. в разделе Поддерживаемые шаблоны сканирования секретов.

Если секрет находится в поддерживаемом списке, существуют различные причины, по которым защита от отправки может не обнаружить ее.

  • Защита от отправки блокирует утечку секретов в подмножестве наиболее определяемых пользователем шаблонов. Участники могут доверять защите безопасности, если такие секреты блокируются, так как это шаблоны с наименьшим числом ложных срабатываний.
  • Версия секрета может быть старой.
  • Отправка может быть слишком большой, например, если вы пытаетесь отправить тысячи больших файлов. Проверка защиты от отправки может истекать и не блокировать пользователя, если отправка слишком велика. GitHub по-прежнему сканирует и создает оповещения, если это необходимо, после отправки.
  • Если отправка приводит к обнаружению более пяти новых секретов, мы покажем вам только первые пять (мы всегда будем показывать вам не более пяти секретов одновременно).
  • Если отправка содержит более 1000 существующих секретов (то есть секретов, для которых уже созданы оповещения), защита от отправки не блокирует отправку.
  • Если отправка в общедоступный репозиторий превышает 50 МБ, защита от push-уведомлений пропустит ее и не проверит его.
  • Если вы видите запрос обхода без сведений о фиксации или пути к файлу, это означает, что защита от отправки истекла. Отправка была слишком большой или история слишком сложна, чтобы найти фиксацию, которая представила секрет.