О secret scanning закономерностях
Существует двух типа:Оповещения о сканировании секретов
- Оповещения о проверке секретов пользователя: сообщаются пользователям во Security вкладке репозитория, когда поддерживаемый секрет обнаруживается в репозитории.
- Оповещения о защите от нажатия: Сообщается пользователям во Security вкладке репозитория, когда участник обходит защиту от push.
Подробные сведения о каждом типе оповещения см. в разделе Сведения о оповещениях проверки секретов.
Если вы используете REST API для secret scanning, вы можете Secret type отчётывать о секретах от конкретных эмитентов. Дополнительные сведения см. в разделе Конечные точки REST API для проверки секретов.
Категории узоров
| Category | Description | Подход к обнаружению | Пример |
|---|---|---|---|
| Общие вопросы | Секреты, не связанные с конкретным провайдером, такие как приватные ключи и строки подключения к базе данных | На основе регулярных выражений | rsa_private_key |
| Обнаружено ИИ | Общие пароли, обнаруженные с Секретное сканирование Copilot помощью моделей ИИ | На основе ИИ | password |
| Поставщик | Секреты, привязанные к конкретному поставщику услуг (например, AWS, Azure, Stripe) | На основе регулярных выражений | aws_access_key_id |
Возможности по категориям
| Capability | Общие паттерны | Обнаружено ИИ | Паттерны поставщиков |
|---|---|---|---|
| Оповещения пользователей | |||
| Уведомления партнёров |
<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-check" aria-label="Supported" role="img"><path d="M13.78 4.22a.75.75 0 0 1 0 1.06l-7.25 7.25a.75.75 0 0 1-1.06 0L2.22 9.28a.751.751 0 0 1 .018-1.042.751.751 0 0 1 1.042-.018L6 10.94l6.72-6.72a.75.75 0 0 1 1.06 0Z"></path></svg> (если партнёр) |
| Защита от пуша (по умолчанию) | | | (большинство) | | Защита от толчка (настраиваемая) | | | Some | | Проверки действительности | | | Some | | Расширенные метаданные | | | Some | | Поддержка формата Base64 | | | Some |
[! ПРИМЕЧАНИЕ] Проверки валидности и расширенных метаданных доступны только пользователям, которые GitHub Team включают эту функцию в GitHub Enterpriseрамках GitHub Secret Protection .
Поддерживаемые дженерические паттерны
Уровни точности оцениваются на основе типичных показателей ложноположительных результатов типа паттерна.
| Provider | Токен | Description | Точность |
|---|---|---|---|
| Общий | ec_private_key | Приватные ключи с эллиптической кривой (EC), используемые для криптографических операций | High |
| Общий | generic_private_key | Криптографические приватные ключи с -----BEGIN PRIVATE KEY----- заголовком | High |
| Общий | http_basic_authentication_header | Учётные данные HTTP Basic для аутентификации в заголовках запросов | Средний |
| Общий | http_bearer_authentication_header | Токены носителя HTTP, используемые для аутентификации API | Средний |
| Общий | mongodb_connection_string | Строки соединения для баз данных MongoDB, содержащие учетные данные | High |
| Общий | mysql_connection_url | Строки соединения для баз данных MySQL, содержащие учетные данные | High |
| Общий | openssh_private_key | Приватные ключи в формате OpenSSH, используемые для аутентификации SSH | High |
| Общий | pgp_private_key | PGP (Pretty Good Privacy) приватные ключи, используемые для шифрования и подписи | High |
| Общий | postgres_connection_string | Строки соединения для баз данных PostgreSQL, содержащие учетные данные | High |
| Общий | rsa_private_key | RSA-приватные ключи, используемые для криптографических операций | High |
Примечание.
Проверки действительности не поддерживаются для шаблонов дженериков/непоставщиков.
Поддерживаемые шаблоны поставщиков
Используйте таблицу ниже для поиска, фильтрации и просмотра всех поддерживаемых шаблонов. Вы можете фильтровать по имени провайдера, поддержке защиты от push, проверке действительности и многому другому.
Примечание.
Поставщики служб периодически обновляют шаблоны, используемые для создания маркеров, и могут поддерживать несколько версий маркера. Защита от пуша поддерживает только самые свежие версии токенов, которые secret scanning могут идентифицировать себя с уверенностью. Это позволяет избежать фиксации блокировки принудительной защиты, если результат может быть ложным срабатыванием, что, скорее всего, произойдет с устаревшими маркерами.
Отображение 501 501 шаблонов
Поддерживаемые шаблоны
| Секрет | Партнёр | Предупреждение пользователя | Защита от push-уведомлений | Проверка допустимости | Проверка метаданных | Base64 | |
|---|---|---|---|---|---|---|---|
| 1Password | 1Password Service Account Token
| ✗ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Adafruit | Adafruit IO Key
| ✓ | ✓ | ✓ | ✓ | ✓ | ✗ |
| Adobe | Adobe Client Secret
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Adobe | Adobe Device Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Adobe | Adobe PAC Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Adobe | Adobe Refresh Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Adobe | Adobe Service Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Adobe | Adobe Short-Lived Access Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Aikido | Aikido API Client Secret
| ✗ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Aikido | Aikido CI Scanning Token
| ✗ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Airtable | Airtable API Key
| ✗ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Airtable | Airtable Personal Access Token
| ✗ | ✓ | ✓ | ✓ | ✗ | ✗ |
| Aiven | Aiven Auth Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Aiven | Aiven Service Password
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Alibaba | Alibaba Cloud AccessKey ID
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Amazon AWS | Amazon AWS Access Key ID
| ✓ | ✓ | ✓ | ✓ | ✗ | ✓ |
| Amazon AWS | Amazon AWS API Key ID
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Amazon AWS | Amazon AWS Session Token
| ✗ | ✓ | ✓ | ✓ | ✗ | ✗ |
| Anthropic | Anthropic Admin API Key
| ✓ | ✓ | ✓ | ✓ | ✗ | ✗ |
| Anthropic | Anthropic API Key
| ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Anthropic | Anthropic Session ID
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Apify | Apify Actor Run API Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Apify | Apify Actor Run Proxy Password
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Apify | Apify API Token
| ✓ | ✓ | ✓ | ✓ | ✓ | ✗ |
| Apify | Apify Integration API Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |