Разрешение оповещений от сканирования секретов

После просмотра сведений о оповещении проверки секретов необходимо исправить и закрыть оповещение.

Кто может использовать эту функцию?

Repository owners, organization owners, security managers, users assigned to Оповещения о сканировании секретов, commit authors, and users with the admin role

В этой статье

Исправление оповещений

После фиксации секрета в репозитории следует считать секрет скомпрометированным. GitHub рекомендует следующие действия для скомпрометированных секретов:

  1. Убедитесь, что секрет, зафиксированный в GitHub является допустимым.
  2. Просмотрите и обновите все службы, использующие старый маркер. Для GitHub personal access tokens, удалите скомпрометированный маркер и создайте новый маркер. См . раздел AUTOTITLE.
  3. В зависимости от поставщика секретов проверьте журналы безопасности для любых несанкционированных действий.

Закрытие оповещений

Примечание.

Secret scanning не закрывает оповещения автоматически при удалении соответствующего маркера из репозитория. Эти оповещения необходимо закрыть вручную в списке оповещений на GitHub.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под названием репозитория нажмите на Security вкладку. Если вы не видите вкладку « Security» — выберите выпадающее меню и нажмите Security.

  3. В левой боковой панели в разделе "Оповещения об уязвимостях" щелкните Secret scanning.

  4. В разделе "Secret scanning" щелкните оповещение, которое нужно просмотреть.

  5. Чтобы закрыть оповещение, выберите раскрывающееся меню "Закрыть как" и щелкните причину разрешения оповещения.

    Снимок экрана: оповещение secret scanning. Раскрывающееся меню с названием "Закрыть как", развернуто и выделено в темно-оранжевый контур.

  6. При необходимости в поле "Комментарий" добавьте комментарий о закрытии. Комментарий о закрытии будет добавлен на временную шкалу оповещений, и он может использоваться в качестве обоснования для аудита или отчетов.

  7. Нажмите кнопку "Закрыть оповещение".

Дальнейшие шаги