О оценке оповещений
Существуют некоторые дополнительные функции, которые помогут вам оценить оповещения, чтобы лучше определить приоритеты и управлять ими. Вы можете:
- Проверьте допустимость секрета, чтобы узнать, активен ли секрет.
Относится только к GitHub токенам. См. раздел «Проверка достоверности секрета».
- Выполните проверку допустимости по запросу, чтобы получить наиболее актуальное состояние проверки. См. Проведение проверки действительности по требованию.
- Просмотрите метаданные маркера. Относится только к GitHub токенам. Например, чтобы узнать, когда токен был использован в последний раз. См. Обзор GitHub метаданных токенов.
- Просмотрите расширенные проверки метаданных на наличие раскрытого секрета, чтобы узнать такие сведения, как кто владеет секретом и как связаться с владельцем секрета. Применимо только к OpenAI API, Google OAuth и токенам Slack. См. раздел «Обзор расширенных метаданных для токена».
- Просмотрите метки, назначенные оповещению. Для получения дополнительной информации смотрите раздел «Обзор ярлыков оповещений».
Проверка допустимости секрета
Проверки допустимости помогают определить приоритеты оповещений, сказав вам, какие секреты являются active или inactive. Секретом active является тот, который по-прежнему может быть использован, поэтому эти оповещения должны быть проверены и исправлены в качестве приоритета.
По умолчанию GitHub проверяет валидность GitHub токена и отображает статус валидации токена в режиме оповещений.
Организации, использующие GitHub Team, GitHub Enterprise Cloud с лицензией на GitHub Secret Protection, или GitHub Enterprise Server с лицензией на GitHub Secret Protection , также могут включать проверки действительности партнерских паттернов. Для получения дополнительной информации см. раздел «Проверка валидности секрета».
| Срок действия | Состояние | Результат |
|---|---|---|
| Активный секрет | active | GitHub проверен поставщиком этого секрета и обнаружил, что секрет активен |
| Возможно, активный секрет | unknown | GitHub пока не поддерживает проверки для этого типа маркера. |
| Возможно, активный секрет | unknown | GitHub не удалось проверить этот секрет |
| Неактивный секрет | inactive | Убедитесь, что несанкционированный доступ уже не произошел |
Проверки допустимости шаблонов партнеров доступны для следующих типов репозитория:
- Репозитории, принадлежащие организации, для GitHub Team или GitHub Enterprise Cloud с включенными GitHub Secret Protection включено
Для информации о том, как включить проверки валидности для партнерских паттернов, см. Включение проверок допустимости для репозитория, а для информации о том, какие партнерские паттерны поддерживаются в данный момент, см. AUTOTITLE.
Вы можете включить проверку валидности партнерских паттернов, используя конфигурации безопасности, установленные как на корпоративном, так и на уровне организации. См. Создание настраиваемой конфигурации безопасности для предприятия и Создание настраиваемой конфигурации безопасности.
Для информации о том, какие партнерские паттерны поддерживаются в данный момент, см. Поддерживаемые шаблоны сканирования секретов.
Имея GitHub Copilot Enterprise лицензию, вы можете попросить Копилот Чат помощи для лучшего понимания оповещений безопасности, включая secret scanning оповещения, в хранилищах вашей организации. Дополнительные сведения см. в разделе Вопросы GitHub Copilot на GitHub.
Rest API можно использовать для получения списка последнего состояния проверки для каждого маркера. Дополнительные сведения см . в статье AUTOTITLE в документации по REST API. Вы также можете использовать вебхуки, чтобы получать уведомления о активности, связанной с оповещением secret scanning . Дополнительные сведения см. в событии secret_scanning_alert в События и полезные данные веб-перехватчика.
Выполнение проверки допустимости по запросу
После того как вы включили проверки валидности партнёрских паттернов для вашего репозитория, вы можете выполнить проверку действительности по запросу для поддерживаемого секрета, нажав «Проверить секрет » в режиме оповещений. GitHub отправит паттерн соответствующему партнёру и покажет статус валидации секрета в режиме предупреждения.
Анализ GitHub метаданных токенов
Примечание.
Метаданные для GitHub токенов уже доступны Публичный предварительный просмотр и могут измениться.
В виде GitHub активного оповещения о токене можно просмотреть определённые метаданные токена. Эти метаданные помогут определить маркер и решить, какие действия по исправлению необходимо выполнить.
Токены, как personal access token и другие удостоверения, считаются личной информацией. Для получения дополнительной информации об использовании токенов GitHub см. Заявление о конфиденциальности GitHub и Политики допустимого использования.
Метаданные для GitHub токенов доступны для активных токенов в любом репозитории с включенным сканированием секретов. Если маркер был отозван или его состояние невозможно проверить, метаданные не будут доступны. GitHub Автоматически отзывает GitHub токены в публичных репозиториях, поэтому метаданные GitHub для токенов в публичных репозиториях вряд ли будут доступны. Для активных GitHub токенов доступны следующие метаданные:
| Метаданные | Description |
|---|---|
| Имя секрета | Имя, данное GitHub токену его создателем |
| Владелец секрета | Имя GitHub владельца токена |
| Создано | Дата создания маркера |
| Срок действия истек | Дата истечения срока действия маркера |
| Последнее использование | Дата последнего использования маркера |
| Доступ | Имеет ли маркер доступ к организации |
Только пользователи с разрешениями администратора в репозитории, содержащие утечку секрета, могут просматривать сведения об оповещении системы безопасности и метаданные маркера для оповещения. Владельцы предприятия могут запрашивать временный доступ к репозиторию для этой цели. Если доступ предоставлен, GitHub уведомлю владельца репозитория, содержащего утечку секрета, сообщим о действии в журналах аудита владельца репозитория и корпоративного аудита, а также отключите доступ в течение 2 часов. Для получения дополнительной информации см. Доступ к репозиториям, принадлежащим пользователям в вашей организации.
Просмотр расширенных метаданных для токена
Примечание.
Расширенные проверки метаданных для токенов доступны в общедоступной предварительной версии и могут быть изменены.
В просмотре оповещения об активном GitHub токене вы можете увидеть расширенную информацию о метаданных, такую как владельцы и контактные данные.
В следующей таблице приведены все доступные метаданные. Обратите внимание, что проверки метаданных в настоящее время ограничены токенами OpenAI API, Google OAuth и Slack, а метаданные, отображаемые для каждого токена, могут представлять только подмножество того, что существует.
| Тип метаданных | Description |
|---|---|
| Идентификатор ответственного | Уникальный идентификатор поставщика для пользователя или учетной записи службы, которому принадлежит секрет |
| Имя владельца | Удобочитаемое имя пользователя или отображаемое имя владельца секрета |
| Электронная почта владельца | Адрес электронной почты, связанный с владельцем |
| Название организации | Название организации/рабочего пространства/проекта, к которому принадлежит секрет |
| Идентификатор организации | Уникальный идентификатор поставщика для этой организации |
| Секретная дата выдачи | Временная метка, когда секрет (маркер или ключ) был создан или выпущен в последний раз |
| Секретная дата истечения срока действия | Временная метка, когда срок действия секрета должен истечь |
| Имя секрета | Назначенное человеком отображаемое имя или метка для секрета |
| Идентификатор секрета | Уникальный идентификатор поставщика для секрета |
Спрашиваю Чат GitHub Copilot о secret scanning оповещениях
Имея GitHub Copilot Enterprise лицензию, вы можете попросить Копилот Чат помощи для лучшего понимания оповещений безопасности, включая secret scanning оповещения, в хранилищах вашей организации. Дополнительные сведения см. в разделе Вопросы GitHub Copilot на GitHub.
Просмотр меток оповещений
В представлении оповещений можно просмотреть все метки, назначенные оповещению. Метки предоставляют дополнительные сведения об оповещении, которые могут сообщить о подходе, который вы принимаете для исправления.
Secret scanning Оповещения могут иметь следующие метки. В зависимости от назначенных меток вы увидите дополнительные сведения в представлении оповещений.
| Этикетка | Description | Сведения о представлении оповещений |
|---|---|---|
public leak | Секрет, обнаруженный в вашем репозитории, также был обнаружен как публично слитый по крайней мере одним из GitHubсканов кода, обсуждений, сути, вопросов, pull requests и вики. Это может потребовать, чтобы устранить оповещение с большей срочностью или исправить оповещение по-разному по сравнению с частным маркером. | Вы увидите ссылки на определенные общедоступные расположения, где обнаружен утечка секрета. |
multi-repo | Секрет, обнаруженный в репозитории, найден в нескольких репозиториях в организации или организации. Эти сведения помогут вам проще вывести оповещение в организации или организации. | Если у вас есть соответствующие разрешения, вы увидите ссылки на все определенные оповещения для одного секрета в вашей организации или организации. |