支持的机密扫描模式

支持的机密列表和 GitHub 与之合作的合作伙伴,以防止欺诈性使用意外提交的机密。

谁可以使用此功能?

Secret scanning 可用于以下存储库类型:

  • GitHub.com 上的公共存储库
  • 启用了 GitHub Secret Protection 的 GitHub Team 或 GitHub Enterprise Cloud 上的组织拥有的存储库
  • GitHub Enterprise Cloud 的用户拥有的存储库,包含 Enterprise Managed Users

本文内容

关于 secret scanning 模式

有两种类型的 机密扫描警报:

  • 机密扫描警报:在存储库中检测到支持的机密时,在存储库的安全选项卡中向用户报告。
  • 推送保护警报:当参与者绕过推送保护时,在存储库的安全选项卡中向用户报告。
  • 合作伙伴警报:直接向属于 secret scanning 合作伙伴计划的机密提供方报告。 这些警报不会在存储库的安全选项卡中报告。

有关每种警报类型的深入信息,请参阅 关于机密扫描警报

有关所有受支持的模式的详细信息,请参阅下面的支持的机密部分。

如果你使用 REST API 进行 secret scanning,则可以使用 Secret type 报告来自特定颁发者的机密。 有关详细信息,请参阅“适用于机密扫描的 REST API 终结点”。

如果你认为 secret scanning 应检测到提交到存储库的机密,但却尚未检测到,则首先需要检查 GitHub 是否支持你的机密。 有关详细信息,请查看以下部分。 有关高级故障排除的详细信息,请参阅 排查机密扫描问题

支持的机密

这些表列出了 secret scanning 支持的每种机密类型的机密。 表中的信息可能包括以下数据:

  •           **提供商:** 令牌提供商的名称。

  •           **合作伙伴:** 将泄漏报告给相关令牌合作伙伴的令牌。 适用于公共存储库和所有 gist,包括机密 gist。 所谓的私密代码片段并不是私有的,任何拥有该 URL 的人都可以访问。 请参阅[关于 gist](/get-started/writing-on-github/editing-and-sharing-content-with-gists/creating-gists#about-gists)。

  •           **用户:** 向 GitHub 上的用户报告泄漏的令牌。
    • 适用于公共仓库,以及启用了 GitHub Secret Protection 和 secret scanning 的专用仓库。
    • 包括与支持的模式和指定的自定义模式相关的 默认 令牌,以及非提供商令牌(例如私钥),这些令牌通常具有较高的误报率。
    • 要使 secret scanning 扫描非提供商模式,必须为存储库或组织启用非提供商模式检测。 有关详细信息,请参阅“为存储库启用机密扫描”。
  •           **推送保护**:向 GitHub 上的用户报告泄漏的令牌。 适用于启用了 secret scanning 和推送保护的存储库。

  •           **验证检查:** 实现其有效性检查的令牌。 对于合作伙伴令牌,GitHub 会将令牌发送给相关合作伙伴。 请注意,并非所有合作伙伴都位于美国。 有关详细信息,请参阅站点策略文档中的 [Advanced Security](/free-pro-team@latest/site-policy/github-terms/github-terms-for-additional-products-and-features#advanced-security)。

  •         **Base64:** 支持 Base64 编码版本的令牌。

非提供商模式

根据模式类型的典型误报率估计精度级别。

注意

非提供程序模式不支持有效性检查。

Copilot 机密扫描

Secret scanning 使用 Copilot 来检测泛型密码。 请参阅“使用 Copilot 机密扫描负责任地检测通用机密”。

Provider标记
常规密码

注意

密码不支持推送保护和有效性检查。

默认的 模式

令牌版本

服务提供商会更新用于定期生成令牌的模式,并且可能支持多个版本的令牌。 推送保护仅支持 secret scanning 能够可靠识别的最新令牌版本。 这样可以避免在结果可能是误报时,不必要地阻止提交推送保护,这种情况在使用旧令牌时更有可能发生。

多部分机密

默认情况下,secret scanning支持对成对匹配的访问密钥和密钥 ID 进行验证。

Secret scanning还支持对 Amazon AWS 访问密钥 ID 的单个密钥 ID 以及现有成对匹配进行验证。

如果secret scanning确认密钥 ID 存在,无论是否找到相应的访问密钥,此密钥 ID 都将显示为活动状态。 如果此密钥 ID 无效(例如,如果它不是真正的密钥 ID),则它将显示为 inactive

找到有效对时,将链接secret scanning警报。

延伸阅读

  •         [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/about-alerts)

  •         [AUTOTITLE](/code-security/getting-started/securing-your-repository)

  •         [AUTOTITLE](/authentication/keeping-your-account-and-data-secure)