Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы может все еще выполняться. Актуальные сведения см. в документации на английском языке.
All products
Безопасность кода

Настройка проверки секретов в ваших репозиториях

В этой статье

Вы можете настроить, как GitHub сканирует ваши репозитории на наличие утечки секретов и создает оповещения.

Кто может использовать эту функцию

People with admin permissions to a repository can enable secret scanning for the repository.

Оповещения о проверке секретов для партнеров автоматически выполняется в общедоступных репозиториях и общедоступных пакетах npm для уведомления поставщиков служб об утечке секретов в GitHub.com.

Оповещения о проверке секретов для пользователей доступны бесплатно во всех общедоступных репозиториях. Организации, использующие GitHub Enterprise Cloud с лицензией на GitHub Advanced Security, также могут включить Оповещения проверки секретов для пользователей в своих частных и внутренних репозиториях. Дополнительные сведения см. в разделах "Сведения о проверке секретов" и "Сведения о GitHub Advanced Security".

Включение Оповещения проверки секретов для пользователей

Вы можете включить Оповещения проверки секретов для пользователей для любого репозиторий, принадлежащий организации. После включения secret scanning сканирует все секреты во всем журнале Git во всех ветвях, имеющихся в репозитории GitHub. Secret scanning также анализирует описания проблем и комментарии для секретов.

Примечание. Secret scanning для описания проблем и комментариев находится в общедоступной бета-версии и может быть изменен.

Примечание: Если ваша организация принадлежит корпоративной учетной записи, владелец предприятия также может включить secret scanning на уровне предприятия. Дополнительные сведения см. в разделе Управление функциями GitHub Advanced Security для предприятия.

Общие сведения о безопасности можно использовать для поиска набора репозиториев и одновременного включения или отключения Оповещения проверки секретов для пользователей для них. Дополнительные сведения см. в разделе Включение функций безопасности для нескольких репозиториев.

Вы также можете использовать страницу параметров организации для "Безопасность и анализ кода", чтобы включить или отключить Оповещения проверки секретов для пользователей для всех общедоступных репозиториев в организации:

  1. На GitHub.com перейдите на главную страницу репозитория. 1. Под именем репозитория щелкните Параметры. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку Параметры.

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  2. В разделе "Безопасность" боковой панели щелкните Безопасность и анализ кода.

  3. Если Advanced Security еще не включено для этого репозитория, справа от "GitHub Advanced Security" нажмите кнопку Включить.

  4. Проверьте влияние включения Advanced Security, а затем нажмите Включить GitHub Advanced Security для этого репозитория.

  5. Если включить Advanced Security, для этого репозитория может быть автоматически включено secret scanning, в зависимости от параметров организации. Если "Secret scanning" отображается с кнопкой Включить, значит вам все еще нужно включить secret scanning, нажав кнопку Включить. Если вы видите кнопку Отключить, значит secret scanning уже включено.

    Снимок экрана: раздел "Secret scanning" на странице "Безопасность и анализ кода" с выделенной кнопкой "Включить" в темно-оранжевом контуре.

  6. Если вы хотите включить защиту отправки, то можете нажать кнопку Включить справа от пункта "Защита отправки". Когда вы включаете защиту отправки, secret scanning также проверяет отправки на наличие секретов с высокой достоверностью (с малой частотой ложноположительных результатов). Secret scanning перечисляет все обнаруженные секреты, чтобы автор мог просмотреть секреты и удалить их или, при необходимости, разрешить отправку этих секретов. Дополнительные сведения см. в разделе Защита отправок с помощью сканирования секретов. Включение защиты отправок для репозитория

Исключение каталогов из Оповещения проверки секретов для пользователей

Вы можете настроить файл secret_scanning.yml для исключения каталогов из secret scanning, в том числе при использовании защиты от push-уведомлений. Например, можно исключить каталоги, содержащие тесты или случайно созданное содержимое.

  1. На GitHub.com перейдите на главную страницу репозитория.

  2. Над списком файлов выберите раскрывающееся меню Добавить файл , а затем щелкните Создать файл.

    Кроме того, можно щелкнуть в представлении дерева файлов слева.

    Снимок экрана: страница main репозитория. Над списком файлов кнопка с меткой "Добавить файл" выделена темно-оранжевым цветом. В представлении дерева файлов репозитория кнопка со значком "плюс" также выделена темно-оранжевым цветом.

  3. В поле имени файла введите .github/secret_scanning.yml.

  4. В разделе Изменить новый файл введите paths-ignore: и следом пути, которые хотите исключить из secret scanning.

    paths-ignore:
  - "foo/bar/*.js"

    Можно использовать специальные символы для фильтрации путей, например, *. Дополнительные сведения о шаблонах фильтров см. в разделе Синтаксис рабочего процесса для GitHub Actions.

    Примечания.

    • Если в paths-ignore имеется более 1000 записей, то secret scanning исключит из проверки только первые 1000 записей.
    • Если размер secret_scanning.yml больше 1 МБ, secret scanningпропустит весь файл.

Вы также можете пропускать отдельные оповещения из secret scanning. Дополнительные сведения см. в разделе Управление оповещениями о проверке секретов.

Дополнительные материалы