Устранение неполадок с сканированием секретов

При использовании secret scanning для обнаружения секретов в репозитории или секретов, которые будут зафиксированы в репозитории, может потребоваться устранить непредвиденные проблемы.

Кто может использовать эту функцию?

Secret scanning is available for organization-owned repositories, and in beta for user-owned repositories in GitHub Enterprise Server if your enterprise has a license for GitHub Advanced Security. For more information, see "About secret scanning alerts" and "About GitHub Advanced Security."

В этой статье

Примечание. Администратор сайта должен включить secret scanning для ваш экземпляр GitHub Enterprise Server, прежде чем использовать эту функцию. Дополнительные сведения см. в разделе Настройка проверки секретов на ваших устройствах.

Возможно, вы не сможете включить или отключить secret scanning, если владелец предприятия установил политику на уровне предприятия. Дополнительные сведения см. в разделе Применение политик безопасности кода и анализа для вашего предприятия.

Обнаружение пар шаблонов

Secret scanning будет обнаруживать только пары шаблонов, такие как ключи доступа и секреты AWS, если идентификатор и секрет находятся в одном файле, и оба они отправляются в репозиторий. Сопоставление пар помогает уменьшить ложные срабатывания, так как оба элемента пары (идентификатор и секрет) должны использоваться вместе для доступа к ресурсу поставщика.

Пары, отправленные в разные файлы или не отправленные в один репозиторий, не приводят к оповещениям. Дополнительные сведения о поддерживаемых парах шаблонов см. в таблице "Поддерживаемые шаблоны сканирования секретов".

Сведения о устаревших токенах GitHub

Для маркеров GitHub мы проверяем допустимость секрета, чтобы определить, является ли секрет активным или неактивным. Это означает, что для устаревших маркеров secret scanning не обнаруживает GitHub Enterprise Server personal access token на GitHub Enterprise Cloud. Аналогичным образомGitHub Enterprise Cloud personal access token не будет найдено на GitHub Enterprise Server.

Ограничения защиты push-уведомлений

Если защита push-уведомлений не обнаружила секрет, который, по вашему мнению, должно быть обнаружено, то сначала следует проверить, что защита push-уведомлений поддерживает тип секрета в списке поддерживаемых секретов. Дополнительные сведения см. в разделе "Поддерживаемые шаблоны сканирования секретов".

Если секрет находится в поддерживаемом списке, существуют различные причины, по которым защита от отправки может не обнаружить ее.

  • Защита от отправки блокирует утечку секретов в подмножестве наиболее определяемых пользователем шаблонов. Участники могут доверять защите безопасности, если такие секреты блокируются, так как это шаблоны с наименьшим числом ложных срабатываний.
  • Версия секрета может быть старой.
  • Отправка может быть слишком большой, например, если вы пытаетесь отправить тысячи больших файлов. Проверка защиты от отправки может истекать и не блокировать пользователя, если отправка слишком велика. GitHub по-прежнему сканирует и создает оповещения, если это необходимо, после отправки.
  • Если отправка приводит к обнаружению более пяти новых секретов, мы покажем вам только первые пять (мы всегда будем показывать вам не более пяти секретов одновременно).
  • Если отправка содержит более 1000 существующих секретов (то есть секретов, для которых уже созданы оповещения), защита от отправки не блокирует отправку.