Ответственное обнаружение универсальных секретов с помощью сканирования секретов Copilot

Узнайте, как Сканирование секретов Copilot ответственно использовать ИИ для сканирования и создания оповещений о неструктурированных секретах, таких как пароли.

Кто может использовать эту функцию?

Сканирование секретов Copilot доступен для следующих типов репозитория:

  • Репозитории, принадлежащие организации для GitHub Team с GitHub Secret Protection включено

В этой статье

О своём обнаружение универсального секретаСканирование секретов Copilot

          Сканирование секретов CopilotЭто обнаружение универсального секрета расширение secret scanning на базе ИИ, которое выявляет неструктурированные секреты (пароли) в вашем исходном коде и затем генерирует оповещение.

Примечание.

Подписка на GitHub Copilot не требуется для использования Сканирование секретов Copilotобнаружение универсального секрета. Функции Сканирование секретов Copilot доступны для репозиториев, принадлежащих организациям и предприятиям, имеющим лицензию на GitHub Secret Protection.

          GitHub Secret Protection Пользователи уже могут получать Оповещения о сканировании секретов для партнёров или пользовательские шаблоны, найденные в их исходном коде, но неструктурированные секреты не так просто обнаружить. 
          Сканирование секретов Copilot использует крупные языковые модели (LLM) для идентификации такого типа секрета.

При обнаружении пароля он отображается в списке secret scanning «Обобщённых» оповещений (во Security and quality вкладке репозитория, организации или предприятия), чтобы сопровождающие и менеджеры по безопасности могли просмотреть оповещение и, при необходимости, удалить учетные данные или внедрить исправление.

          Для пользователей с GitHub Enterprise Cloudвладелец предприятия должен сначала задать политику на корпоративном уровне, которая определяет, можно ли включить и отключить обнаружение универсального секрета для репозиториев в организации. Эта политика имеет значение "разрешено" по умолчанию. Эта функция должна быть включена для репозиториев и организаций.

Обработка входных данных

Входные данные ограничены текстом (обычно кодом), который пользователь проверил в репозитории. Система предоставляет этот текст LLM вместе с метазаставкой, запрашивая LLM найти пароли в области входных данных. Пользователь напрямую не взаимодействует с LLM.

Система сканирует пароли с помощью LLM. Система не собирает дополнительных данных, кроме уже собранных существующей secret scanning функцией.

Выходные данные и отображение

LLM проверяет строки, похожие на пароли и проверяющие, что определенные строки, включенные в ответ, фактически существуют в входных данных.

Обнаруженные строки отображаются в виде оповещений на странице secret scanning оповещений, но отображаются в дополнительном списке, отдельном от обычного Оповещения о сканировании секретов. Цель заключается в том, что этот отдельный список с более тщательной проверкой для проверки действительности выводов. Каждое оповещение отмечает, что оно было обнаружено с помощью ИИ. Для получения информации о том, как просматривать оповещения о общих секретах, смотрите Просмотр и фильтрация оповещений из секретного сканирования.

Повышение производительности обнаружение универсального секрета

Для улучшения эффективности обнаружение универсального секретамы рекомендуем правильно закрывать ложноположительные оповещения.

Проверка точности оповещений и закрытие по мере необходимости

Поскольку Сканирование секретов Copilotкоэффициенты обнаружение универсального секрета могут генерировать больше ложных срабатываний, чем существующая secret scanning функция для партнерских паттернов, важно проверить точность этих оповещений. Когда вы проверяете оповещение как ложноположительное, обязательно закройте оповещение и отметьте причину как «Ложноположительный» в GitHub интерфейсе. Команда разработчиков будет использовать информацию о объёме ложноположительных результатов GitHub и местах обнаружения для улучшения модели. GitHub не имеет доступа к самим секретным буквалам.

Ограничения обнаружение универсального секрета

При использовании Сканирование секретов Copilot' обнаружение универсального секретаs — следует учитывать следующие ограничения.

Ограниченная область

          Обнаружение универсального секрета Сейчас я ищу только экземпляры паролей в контенте git. Функция не ищет другие типы универсальных секретов и не ищет секреты в контенте, не связанном с git, GitHub Issuesнапример, .

Потенциал для ложных срабатываний оповещений

          Обнаружение универсального секрета может создавать больше ложноположительных оповещений по сравнению с существующей secret scanning функцией (которая обнаруживает партнерские паттерны и имеет очень низкий процент ложных срабатываний). Чтобы устранить этот избыточный шум, оповещения группируются в отдельном списке от оповещений шаблонов партнеров, а руководители и специалисты по безопасности и поддержке должны проверять их точность.

Потенциал для неполных отчетов

          Обнаружение универсального секрета может пропустить случаи внесения учётных данных в репозитории. LLM будет улучшаться с течением времени. Вы сохраняете конечную ответственность за обеспечение безопасности кода.

Ограничения по проектированию

          Обнаружение универсального секрета имеет следующие ограничения по конструкции:

* Сканирование секретов Copilot не обнаружит секреты, явно поддельные, не проверяет пароли или пароли с низкой энтропией. * Сканирование секретов Copilot обнаруживает максимум 100 паролей за один push.

  • Если пять или более обнаруженных секретов в одном файле помечены как ложноположительные, Сканирование секретов Copilot генерация новых оповещений для этого файла прекратится.
  •         Сканирование секретов Copilot не обнаруживает секреты в сгенерированных или продавленных файлах.

  •         Сканирование секретов Copilot не обнаруживает секреты в зашифрованных файлах.

  •         Сканирование секретов Copilot Не обнаруживает секреты в типах файлов: SVG, PNG, JPEG, CSV, TXT, SQL или ITEM.

  •         Сканирование секретов Copilot не обнаруживает секреты в тестовом коде. 
        Сканирование секретов Copilot пропускает обнаружения, когда выполнены оба условия:
    • Путь к файлу содержит "test", "mock" или "spec", AND
    • Расширение файла: .cs, .go``.java``.js``.kt``.php``.py``.rb``.scala, .swiftили ..ts

Оценка обнаружение универсального секрета

          Обнаружение универсального секрета подвергается ответственному AI Red Teaming и GitHub будет продолжать следить за эффективностью и безопасностью этой функции со временем.

Дальнейшие шаги

  •         [AUTOTITLE](/code-security/secret-scanning/copilot-secret-scanning/enabling-ai-powered-generic-secret-detection)

  •         [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning)

Дополнительные материалы

  •         [AUTOTITLE](/code-security/secret-scanning/introduction/about-secret-scanning)