关于 secret scanning
如果有人使用已知模式将机密检入存储库,secret scanning 会在检入时捕获该机密,并帮助你减轻泄漏的影响。 存储库管理员会收到有关包含机密的任何提交的通知,并且可以在存储库的选项卡中快速查看所有检测到的 Security 机密。 请参阅“秘密扫描”。
Availability
启用 GitHub Secret Protection 后,Secret scanning 可用于组织拥有的存储库和用户拥有的存储库。
检查许可证是否包括 Advanced Security
可以通过查看企业设置来确定企业是否具有产品许可证 Advanced Security 。 有关详细信息,请参阅“为您的企业启用 GitHub Advanced Security 产品”。
先决条件 secret scanning
-
SSSE3(补充流式 SIMD 扩展 3)CPU 标志需要在运行 GitHub Enterprise Server 的 VM/KVM 上启用。 有关 SSSE3 的详细信息,请参阅 Intel 文档中的 Intel 64 和 IA-32 体系结构优化参考手册。
-
GitHub Secret Protection 或 GitHub Advanced Security 的许可证(请参阅 GitHub Advanced Security 许可证计费)
-
Secret scanning 在管理控制台中启用(请参阅 为您的企业启用 GitHub Advanced Security 产品)
检查您的 vCPU 上的 SSSE3 标志的支持
需要 SSSE3 指令集,因为 secret scanning 利用硬件加速的模式匹配来查找提交到你的 GitHub 存储库的潜在凭据。 大多数现代 CPU 都启用了 SSSE3。 你可以检查 GitHub Enterprise Server 实例可用的 vCPU 是否启用了 SSSE3。
-
连接到 GitHub Enterprise Server 实例的管理 shell。 请参阅“访问管理 shell (SSH)”。
-
输入以下命令:
grep -iE '^flags.*ssse3' /proc/cpuinfo >/dev/null; echo $?如果返回值
0,则意味着 SSSE3 标志可用并且已启用。 现在可以启用 secret scanning。 请参阅下面的启用 secret scanning。如果不返回
0,则 SSSE3 未在 VM/KVM 上启用。 您需要参考硬件/虚拟机监控程序的文档,以了解如何启用该标志,或者如何使其可用于访客 VM。
启用 secret scanning
警告
- 更改此设置将导致 GitHub Enterprise Server 上面向用户的服务重新启动。 你应仔细安排此更改的时间,以最大程度地减少用户的停机时间。
- 在更改功能启用设置之前,你应该与组织所有者沟通你计划进行的任何更改,以免影响企业中组织已推出的现有安全配置。
- 在 GitHub Enterprise Server 上的管理帐户中,在任一页面的右上角,单击“”。
- 如果你尚未在“站点管理员”页上,请在左上角单击“站点管理员”。
- 在“ 站点管理”边栏中,单击“管理控制台”****。
- 在“设置”边栏中,单击“安全”。
- 在“安全性”下,选择 Secret scanning。
禁用 secret scanning
警告
- 更改此设置将导致 GitHub Enterprise Server 上面向用户的服务重新启动。 你应仔细安排此更改的时间,以最大程度地减少用户的停机时间。
- 在更改功能启用设置之前,你应该与组织所有者沟通你计划进行的任何更改,以免影响企业中组织已推出的现有安全配置。
-
在 GitHub Enterprise Server 上的管理帐户中,在任一页面的右上角,单击“”。
-
如果你尚未在“站点管理员”页上,请在左上角单击“站点管理员”。
-
在“ 站点管理”边栏中,单击“管理控制台”****。
-
在“设置”边栏中,单击“安全”。
-
在“安全性”下,取消选择 Secret scanning。
-
在“设置”边栏下,单击“保存设置”。
注意
保存 管理控制台 中的设置会重启系统服务,这可能会导致用户可察觉的停机时间。
-
等待配置运行完毕。