О оценке оповещений
Существуют некоторые дополнительные функции, которые помогут вам оценить оповещения, чтобы лучше определить приоритеты и управлять ими. Вы можете:
- Проверьте допустимость секрета, чтобы узнать, активен ли секрет. См. раздел «Проверка достоверности секрета».
- Выполните проверку допустимости по запросу, чтобы получить наиболее актуальное состояние проверки. См. Проведение проверки действительности по требованию.
- Просмотрите метаданные маркера. Относится только к GitHub токенам. Например, чтобы узнать, когда токен был использован в последний раз. См. Обзор GitHub метаданных токенов.
Проверка допустимости секрета
Проверки допустимости помогают определить приоритеты оповещений, сказав вам, какие секреты являются active или inactive. Секретом active является тот, который по-прежнему может быть использован, поэтому эти оповещения должны быть проверены и исправлены в качестве приоритета.
По умолчанию GitHub проверяет валидность GitHub токена и отображает статус валидации токена в режиме оповещений.
Организации, использующие GitHub Team, GitHub Enterprise Cloud с лицензией на GitHub Secret Protection, или GitHub Enterprise Server с лицензией на GitHub Secret Protection , также могут включать проверки действительности партнерских паттернов. Для получения дополнительной информации см. раздел «Проверка валидности секрета».
| Срок действия | Состояние | Результат |
|---|---|---|
| Активный секрет | active | GitHub проверен поставщиком этого секрета и обнаружил, что секрет активен |
| Возможно, активный секрет | unknown | GitHub пока не поддерживает проверки для этого типа маркера. |
| Возможно, активный секрет | unknown | GitHub не удалось проверить этот секрет |
| Неактивный секрет | inactive | Убедитесь, что несанкционированный доступ уже не произошел |
Проверки допустимости шаблонов партнеров доступны для следующих типов репозитория:
- Репозитории, принадлежащие организации, на GitHub Enterprise Server with GitHub Secret Protection enabled
Для информации о том, как включить проверки валидности для партнерских паттернов, см. Включение проверок допустимости для репозитория, а для информации о том, какие партнерские паттерны поддерживаются в данный момент, см. AUTOTITLE.
Вы можете включить проверку валидности партнерских паттернов, используя конфигурации безопасности, установленные как на корпоративном, так и на уровне организации. См. Создание настраиваемой конфигурации безопасности для предприятия и Создание настраиваемой конфигурации безопасности.
Для информации о том, какие партнерские паттерны поддерживаются в данный момент, см. Поддерживаемые шаблоны сканирования секретов.
Rest API можно использовать для получения списка последнего состояния проверки для каждого маркера. Дополнительные сведения см . в статье AUTOTITLE в документации по REST API. Вы также можете использовать вебхуки, чтобы получать уведомления о активности, связанной с оповещением secret scanning . Дополнительные сведения см. в событии secret_scanning_alert в События и полезные данные веб-перехватчика.
Выполнение проверки допустимости по запросу
После того как вы включили проверки валидности партнёрских паттернов для вашего репозитория, вы можете выполнить проверку действительности по запросу для поддерживаемого секрета, нажав «Проверить секрет » в режиме оповещений. GitHub отправит паттерн соответствующему партнёру и покажет статус валидации секрета в режиме предупреждения.
Анализ GitHub метаданных токенов
Примечание.
Метаданные для GitHub токенов уже доступны Публичный предварительный просмотр и могут измениться.
В виде GitHub активного оповещения о токене можно просмотреть определённые метаданные токена. Эти метаданные помогут определить маркер и решить, какие действия по исправлению необходимо выполнить.
Токены, как personal access token и другие удостоверения, считаются личной информацией. Для получения дополнительной информации об использовании токенов GitHub см. Заявление о конфиденциальности GitHub и Политики допустимого использования.
Метаданные для GitHub токенов доступны для активных токенов в любом репозитории с включенным сканированием секретов. Если маркер был отозван или его состояние невозможно проверить, метаданные не будут доступны. GitHub Автоматически отзывает GitHub токены в публичных репозиториях, поэтому метаданные GitHub для токенов в публичных репозиториях вряд ли будут доступны. Для активных GitHub токенов доступны следующие метаданные:
| Метаданные | Description |
|---|---|
| Имя секрета | Имя, данное GitHub токену его создателем |
| Владелец секрета | Имя GitHub владельца токена |
| Создано | Дата создания маркера |
| Срок действия истек | Дата истечения срока действия маркера |
| Последнее использование | Дата последнего использования маркера |
| Доступ | Имеет ли маркер доступ к организации |
Только пользователи с разрешениями администратора в репозитории, содержащие утечку секрета, могут просматривать сведения об оповещении системы безопасности и метаданные маркера для оповещения. Владельцы предприятия могут запрашивать временный доступ к репозиторию для этой цели. Если доступ предоставлен, GitHub уведомлю владельца репозитория, содержащего утечку секрета, сообщим о действии в журналах аудита владельца репозитория и корпоративного аудита, а также отключите доступ в течение 2 часов.