关于 secret scanning
如果项目与外部服务通信,您可能使用令牌或私钥进行身份验证。 令牌和私钥是服务提供商可以签发的典型密码。 如果将密码检入仓库,则对仓库具有读取权限的任何人都可以使用该密码以您的权限访问外部服务。 建议将密码存储在项目仓库外部专用的安全位置。
Secret scanning将扫描 GitHub 存储库中存在的所有分支上的整个 Git 历史记录以查找机密。
Secret scanning 在 GitHub.com 上以两种形式提供:
-
。 在所有公共存储库上自动运行。 与机密扫描合作伙伴提供的模式匹配的任何字符串都将直接报告给相关合作伙伴。
-
。 使用具有 GitHub Advanced Security 许可证的 GitHub Enterprise Cloud 的组织可以为组织拥有的仓库启用和配置额外扫描。与机密扫描合作伙伴、其他服务提供商或你的组织定义的模式匹配的任何字符串都会在存储库的“安全”选项卡中报告为警报。 如果公共存储库中的字符串与合作伙伴模式匹配,则也会向合作伙伴报告该字符串。有关详细信息,请参阅 GitHub Enterprise Cloud 文档。
服务提供商可与 GitHub 合作提供用于扫描的密码格式。 若要了解我们的合作伙伴计划,请参阅“Secret scanning 合作伙伴计划”。
关于
将存储库设为公共存储库或将更改推送到公共存储库时,GitHub 始终会扫描代码以查找与合作伙伴模式匹配的机密。 如果 secret scanning 检测到潜在的机密,我们会通知颁发该机密的服务提供商。 服务提供商验证字符串,然后决定是应吊销机密、颁发新机密还是直接与您联系。 他们的行动将取决于您或他们的相关风险。 有关详细信息,请参阅“合作伙伴模式支持的机密”。
您无法更改公共存储库上 secret scanning 的配置。
注意:组织使用 GitHub Enterprise Cloud 和 GitHub Advanced Security 还可以在其拥有的任何存储库(包括专用存储库)上启用 。 有关详细信息,请参阅 GitHub Enterprise Cloud 文档。