Разрешение оповещений от сканирования секретов

После просмотра сведений о оповещении проверки секретов необходимо исправить и закрыть оповещение.

Кто может использовать эту функцию?

Repository owners, organization owners, security managers, users assigned to Оповещения о сканировании секретов, commit authors, and users with the admin role

В этой статье

Исправление оповещений

После фиксации секрета в репозитории следует считать секрет скомпрометированным. GitHub рекомендует следующие действия для скомпрометированных секретов:

  1. Убедитесь, что секрет, зафиксированный в GitHub является допустимым. Применяется только к маркерам GitHub . См. разделы «Проверка действительности секрета » и «Проведение проверки действительности по запросу».
  2. Для секретов, обнаруженных в частных репозиториях, сообщите утечку секрета GitHub, который будет рассматривать его как любой общедоступный секрет и отозвать его. Применяется только к активным или неподтверждённым GitHub personal access tokens. См. Сообщение о утечке секрета в частном хранилище.
  3. Просмотрите и обновите все службы, использующие старый маркер. Для GitHub personal access tokens, удалите скомпрометированный маркер и создайте новый маркер. См . раздел AUTOTITLE.
  4. В зависимости от поставщика секретов проверьте журналы безопасности для любых несанкционированных действий.

Сообщение о утечке секрета в частном хранилище

Примечание.

Сообщить о закрытом секрете GitHub находится в public preview и подлежит изменению. В настоящее время эта функция доступна только для GitHub personal access tokens (версия 1 и 2).

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под названием репозитория нажмите на Security and quality вкладку. Если вы не видите вкладку « Security and quality» — выберите выпадающее меню и нажмите Security and quality.

  3. В левой боковой панели в разделе "Оповещения об уязвимостях" щелкните Secret scanning.

  4. В списке оповещений щелкните оповещение, которое вы хотите просмотреть.

  5. В представлении оповещений для утечки секрета щелкните "Отчет утечки".

    Примечание.

    Чтобы предотвратить критические рабочие процессы, рассмотрите возможность смены секрета перед продолжением, так как раскрытие его может привести к отмене секрета. Если это возможно, вы также должны обратиться к владельцу токена, чтобы сообщить им об утечке и координации плана исправления.

  6. Просмотрите сведения в диалоговом окне, а затем щелкните "Я понимаю последствия", сообщите об этом секрете.

Закрытие оповещений

Примечание.

Secret scanning не закрывает оповещения автоматически при удалении соответствующего маркера из репозитория. Эти оповещения необходимо закрыть вручную в списке оповещений на GitHub.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под названием репозитория нажмите на Security and quality вкладку. Если вы не видите вкладку « Security and quality» — выберите выпадающее меню и нажмите Security and quality.

  3. В левой боковой панели в разделе "Оповещения об уязвимостях" щелкните Secret scanning.

  4. В разделе "Secret scanning" щелкните оповещение, которое нужно просмотреть.

  5. Чтобы закрыть оповещение, выберите раскрывающееся меню "Закрыть как" и щелкните причину разрешения оповещения.

    Снимок экрана: оповещение secret scanning. Раскрывающееся меню с названием "Закрыть как", развернуто и выделено в темно-оранжевый контур.

  6. При необходимости в поле "Комментарий" добавьте комментарий о закрытии. Комментарий о закрытии будет добавлен на временную шкалу оповещений, и он может использоваться в качестве обоснования для аудита или отчетов.

  7. Нажмите кнопку "Закрыть оповещение".

Дальнейшие шаги