选择 GitHub Secret Protection

了解 GitHub Secret Protection 如何帮助你检测代码库中的机密,并使用持续监视和预防工具预防机密泄漏。

谁可以使用此功能?

GitHub Secret Protection 是 GitHub Advanced Security 中的一组功能,可供以下用户使用:

  • GitHub Team 计划用户
  • GitHub Enterprise Cloud 和 GitHub Enterprise Server 上的企业组织

本文内容

关于 GitHub Secret Protection

Secret Protection 包含以下功能,可帮助你检测和防止机密泄漏,并允许持续监视和检测。 有关功能及其可用性的详细信息,请参阅 GitHub Secret Protection

  • Secret scanning****:检测已签入仓库的机密,例如密钥和令牌,并接收警报。

  • 推送保护****:阻止包含机密的提交,防止发生机密泄漏。

  • Copilot 机密扫描****:利用 AI 检测已签入仓库的非结构化凭据(如密码)。

  • 自定义模式****:检测和防止组织特定的机密泄漏。

  • 推送保护委派绕过和委派警报解除********:实施审批流程,以便更好地控制企业中谁可以执行敏感操作,支持大规模治理。

  • 安全概览****:了解整个组织的风险分布。

此外,Secret Protection 包括免费的扫描功能(“风险评估”报告),可帮助组织了解其在 GitHub 外围中的机密泄漏足迹****。 请参阅“关于机密风险评估”。

Secret Protection 按活动提交者对启用它的存储库计费。 它适用于使用 GitHub Team 或 GitHub Enterprise 计划的用户,请参阅 关于 GitHub Advanced Security 的计费

为何应为组织的所有存储库启用 Secret Protection

GitHub 建议为所有存储库启用 GitHub Secret Protection 产品,以避免组织发生机密泄漏和暴露。 GitHub Secret Protection 可免费用于公共存储库,还可用作专用存储库和内部存储库的可购买附加产品。

  • 免费的 secret risk assessment 仅扫描组织中的代码,包括已存档仓库中的代码__。 可以使用 GitHub Secret Protection 扩展扫描范围,以涵盖拉取请求、议题、wiki 和 GitHub Discussions 中的内容****。。 请参阅“关于机密扫描

  • 已提交到存储库中的 secret risk assessment 和 secret scanning 扫描代码。 通过“推送保护”,在推送过程中,系统会在将提交内容保存到 GitHub 之前扫描代码中是否存在机密,如果检测到任何机密,则会阻止推送****__。 请参阅“关于推送保护”。

  • 如果你有一个或多个组织内部的机密模式,则 功能来检测这些模式****。 请参阅“为机密扫描定义自定义模式”。

  • 知道哪些机密可能被利用,便可以轻松确定修正 secret scanning 发现的泄露机密的优先顺序。 “有效性检查”会指出活动机密是否是仍可能被利用的机密,并因此应检查并优先修正这些警报****。 请参阅“为存储库启用有效性检查”。

  • 你可能还想要检测非结构化机密(如密码)的泄漏情况。 可以通过 AI 支持的 Copilot 机密扫描 实现此操作****。 请参阅“使用 Copilot 机密扫描负责任地检测通用机密”。

  • 可视化呈现安全数据的预防、检测和修正对于了解工作方向以及安全计划的应用区域至关重要。 “安全概览”具有专用视图,可用于深入了解组织和企业级代码库的当前状态****。 请参阅“关于安全概述”。

除了检测和防止机密泄漏外,还应考虑在所有组织工作流中构建代码安全性来保护软件供应链。 请参阅“关于供应链安全性”。

如果需要评估安全需求或选项的帮助,请联系 GitHub 的销售团队

或者,可以免费试用 GitHub Advanced Security 来评估你的需求。 请参阅“规划 GitHub Advanced Security 的试用”。

启用 Secret Protection

可以使用 GitHub-recommended security configuration 快速大规模启用安全功能,这是一组可应用于组织中存储库的安全启用设置。 然后,可以使用 global settings 在组织级别进一步自定义 Advanced Security 功能。 请参阅“关于批量启用安全功能”。

Security configurations 可在企业和组织级别应用。 还可以为组织配置其他安全设置。 这些设置(称为 global settings)随后将被组织中的所有存储库继承。 通过使用 global settings,你可以自定义安全功能如何分析组织。 请参阅“配置组织的全局安全设置”。

此外,存储库管理员可以在存储库级别启用安全功能。

从 secret risk assessment 启用 Secret Protection

Note

secret risk assessment 报告目前为 公共预览版,可能随时更改。 如果你有反馈或问题,请加入 GitHub Community 中的讨论 - 我们会用心倾听。

  1. 在 GitHub 上,导航到组织的主页面。

  2. 在组织名称下,单击“ 安全性”。

    组织的水平导航栏的屏幕截图。 标有盾牌图标和“安全”字样的选项卡以深橙色轮廓标出。

  3. 在边栏的“Security”下,单击“Assessments”****。

  4. 单击横幅显示中的“Enable Secret Protection”下拉列表,然后选择用于在组织的存储库中启用该功能的选项之一****。

    • 对于免费公共存储库:单击可仅针对 组织中的公共存储库启用****__。

    • 对于所有存储库:单击“Enable Secret Protection”可同时针对组织中的所有存储库启用 secret scanning 和推送保护并支付显示的预计成本********。 你将产生使用费或需要购买 GitHub Secret Protection 许可证。

      或者,单击“在设置中配置”以自定义要为其启用 Secret Protection 的存储库****。 请参阅“在组织中应用 GitHub 建议的安全配置”和“删除自定义安全配置”。