Сведения о оповещениях проверки секретов

Узнайте о различных типах Оповещения о сканировании секретов.

Кто может использовать эту функцию?

Владельцы репозитория, владелец организации, руководители безопасности и пользователи с ролью администратора

Secret scanning доступен для следующих типов репозитория:

        **Публичные репозитории**: Secret scanning запускается автоматически бесплатно.

        **Частные и внутренние репозитории, принадлежащие организации**: доступны с [включённым GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) на GitHub Team или GitHub Enterprise Cloud.

        **Пользовательские репозитории**: доступны на GitHub Enterprise Cloud с Enterprise Managed Users. Доступно на GitHub Enterprise Server, когда у предприятия [включён GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) .

В этой статье

Сведения о типах оповещений

Существует три типа:Оповещения о сканировании секретов

        **
        Оповещения пользователя:** сообщаются пользователям во **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** вкладке репозитория, когда поддерживаемый секрет обнаруживается в репозитории.

        **Оповещения о защите от нажатия:** Сообщается пользователям во **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** вкладке репозитория, когда участник обходит защиту от push.

        **Оповещения о партнерах:** Отчитываются напрямую секретным провайдерам, входящим в secret scanningпартнёрскую программу. Эти оповещения не отображаются во **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** вкладке репозитория.

О пользовательских оповещениях

          Если включить secret scanning для репозитория или отправить фиксации в репозиторий с включенным параметром secret scanning GitHub сканирует содержимое секретов, соответствующих шаблонам служб.
          
          Когда secret scanning обнаруживает секрет, GitHub создает оповещение.
          GitHub отображает уведомление во **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** вкладке репозитория.

Чтобы эффективнее сортировать оповещения, GitHub разделяйте их на два списка:

        **Стандартные** оповещения

        **Общие** оповещения

Список оповещений по умолчанию

В списке оповещений по умолчанию отображаются оповещения, относящиеся к поддерживаемым шаблонам и заданным пользовательским шаблонам. Это основное представление оповещений.

          Общий

          Общий оповещений показывает оповещения, связанные с паттернами, не принадлежащими провайдерам (например, приватные ключи), или с общими секретами, обнаруженными с помощью ИИ (например, пароли).

Эти типы оповещений могут иметь более высокую скорость ложных срабатываний или секретов, используемых в тестах. Вы можете переключиться на общий оповещений из списка оповещений по умолчанию.

          GitHub продолжат выпускать новые шаблоны и типы секретов в общий оповещений и будут продвигать их в список по умолчанию после завершения функций (то есть при адекватном низком объёме и ложноположительных результатах).

Кроме того, оповещения, которые попадают в эту категорию:

Ограничено числом до 5000 оповещений для каждого репозитория (это включает открытые и закрытые оповещения).
Не отображаются в сводных обзорах для обзора безопасности, а только в «Secret scanning» виде.
Только первые пять обнаруженных мест GitHub отображаются для паттернов, не связанных с провайдером, и только первое обнаруженное место для общих секретов, обнаруженных ИИ.

Чтобы GitHub сканировать шаблоны и универсальные секреты, не связанные с провайдерами, сначала необходимо включить функцииS для вашего репозитория или организации. Для получения дополнительной информации смотрите Включение проверки секретов для шаблонов, отличных от поставщика и Включение обнаружения универсального секрета сканирования секретов Copilot.

Если для доступа к ресурсу требуются парные учетные данные, при сканировании секретов оповещение создается только в том случае, если обе части пары будут обнаружены в одном файле. Это гарантирует, что данные о частичных утечках не скрывают наиболее критичные утечки. Сопоставление пар также помогает уменьшить ложные срабатывания, так как оба элемента пары должны использоваться вместе для доступа к ресурсу поставщика.

Сведения о оповещениях защиты от push-уведомлений

Служба push-защиты отправляет запросы на наличие поддерживаемых секретов. Если защита от отправки обнаруживает поддерживаемый секрет, он заблокирует отправку. Когда участник обходит защиту от пуша, чтобы отправить секрет в репозиторий, генерируется оповещение о защите от пуша, которое отображается во Security and quality вкладке репозитория. Чтобы просмотреть все оповещения защиты от push-уведомлений для репозитория, необходимо отфильтровать их на bypassed: true странице оповещений. Дополнительные сведения см. в разделе Просмотр и фильтрация оповещений из секретного сканирования.

Примечание.

          Вы также можете включить защиту от push для вашего личного аккаунта, называемую «push protection for users», которая предотвращает случайное размещение поддерживаемых секретов в _любой_ публичный репозиторий. Оповещения не_ создаются_, если вы решили обойти только защиту push-уведомлений на основе пользователя. Оповещения создаются только в том случае, если в самом репозитории включена защита от принудительной отправки. Для получения дополнительной информации см. [AUTOTITLE](/code-security/secret-scanning/working-with-secret-scanning-and-push-protection/push-protection-for-users).

          Старые версии некоторых маркеров могут не поддерживаться защитой push-уведомлений, так как эти маркеры могут создавать более высокое количество ложных срабатываний, чем их последняя версия. Защита от отправки может также не применяться к устаревшим маркерам. Для маркеров, таких как ключи служба хранилища Azure, GitHub поддерживает _только недавно созданные_ маркеры, а не маркеры, соответствующие устаревшим шаблонам.Для получения дополнительной информации о ограничениях защиты от пуша см. [AUTOTITLE.](/code-security/how-tos/secure-your-secrets/troubleshooting-secret-scanning#push-protection-and-pattern-versions)

Сведения о оповещениях партнера

При GitHub обнаружении утечки секрета в публичном репозитории или пакете NPM уведомление отправляется непосредственно поставщику секрета, если он является частью GitHubпартнёрской программы секретного сканирования. Для получения дополнительной информации оповещения о сканировании секретов для партнеровсм. Партнерская программа сканирования секретов и Поддерживаемые шаблоны сканирования секретов.

Оповещения партнеров не отправляются администраторам репозитория, поэтому вам не нужно предпринимать никаких действий по этому типу оповещений.

Дополнительные материалы

        [AUTOTITLE](/code-security/reference/secret-security/supported-secret-scanning-patterns)

        [AUTOTITLE](/code-security/how-tos/secure-your-secrets/detect-secret-leaks/enabling-secret-scanning-for-non-provider-patterns)