关于警报类型
有两种类型的 机密扫描警报:
- 机密扫描警报:在存储库中检测到支持的机密时,在存储库的安全选项卡中向用户报告。
- 推送保护警报:当参与者绕过推送保护时,在存储库的安全选项卡中向用户报告。
- 合作伙伴警报:直接向属于 secret scanning 合作伙伴计划的机密提供方报告。 这些警报不会在存储库的安全选项卡中报告。
关于 用户警报
当 GitHub 在启用了 secret scanning 的存储库中检测到支持的机密时,将生成用户警报并在存储库的“安全性”**** 选项卡中显示。
用户警报可以为以下类型:
- 默认的 警报,这些警报与支持的模式和指定的自定义模式相关。
- 通用警报,在测试中可能具有更高的误报率或机密。
GitHub 在与默认警报不同的列表中显示这些通用警报,从而为用户提供更好的分类体验。 有关详细信息,请参阅“查看和筛选机密扫描警报”。
如果访问资源需要配对的凭据,则只有在同一文件中检测到该配对的两个凭据时,机密扫描才会创建警报。 这可确保最关键的泄漏不会隐藏在有关部分泄漏的信息后面。 对匹配还有助于减少误报,因为对的两个元素必须一起使用才能访问提供商的资源。
关于推送保护警报
推送保护会对包含受支持机密的推送操作进行扫描。 如果推送保护检测到受支持的机密,将会阻止该次推送。 当贡献者绕过推送保护,将机密推送到存储库时,会生成一条推送保护警报,并显示在该存储库的“安全性”选项卡中。 若要查看某个存储库的所有推送保护警报,必须在警报页面中按 bypassed: true 进行筛选。 有关详细信息,请参阅“查看和筛选机密扫描警报”。
如果访问资源需要配对的凭据,则只有在同一文件中检测到该配对的两个凭据时,机密扫描才会创建警报。 这可确保最关键的泄漏不会隐藏在有关部分泄漏的信息后面。 对匹配还有助于减少误报,因为对的两个元素必须一起使用才能访问提供商的资源。
注意
你还可以为个人帐户启用推送保护(称为“面向用户的推送保护”),以防止你无意中将受支持的机密推送到_任何_公共存储库。 如果你仅选择绕过基于用户的推送保护,则_不会_创建警报。 只有在存储库本身启用了推送保护的情况下,才会创建警报。 有关详细信息,请参阅“用户的推送保护”。
推送保护可能不支持某些旧版令牌,因为这些令牌生成的误报数可能高于其最新版本。 推送保护也可能不适用于旧令牌。 对于 Azure 存储密钥等令牌,GitHub 仅支持“最近创建”令牌,不支持与旧模式匹配的令牌。 有关推送保护限制的详细信息,请参阅 排查机密扫描问题。
后续步骤
-
[AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/viewing-alerts)
延伸阅读
-
[AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns) -
[AUTOTITLE](/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/custom-patterns/defining-custom-patterns-for-secret-scanning) -
[AUTOTITLE](/code-security/secret-scanning/using-advanced-secret-scanning-and-push-protection-features/non-provider-patterns/enabling-secret-scanning-for-non-provider-patterns) -
[AUTOTITLE](/code-security/secret-scanning/copilot-secret-scanning/responsible-ai-generic-secrets)