有效性检查

有效性检查和扩展元数据检查可帮助你优先修复构成直接安全风险的暴露凭据。

谁可以使用此功能?

Secret scanning 可用于以下存储库类型:

  • 公共存储库:Secret scanning 自动且免费地运行。
  •           **组织拥有的私有和内部存储库**:在 GitHub Secret Protection 或 GitHub Team 上启用 [GitHub Enterprise Cloud](/get-started/learning-about-github/about-github-advanced-security) 后可用。
  • 用户拥有的存储库:在 GitHub Enterprise Cloud 上可用,配合 Enterprise Managed Users。 当企业启用了 GitHub Enterprise Server 时,可在 GitHub Secret Protection 上使用。

运行安全风险评估

在本文中

关于有效性检查

有效性检查(一项功能)验证检测到的 secret scanning机密是否仍然处于活动状态,并可能被利用。 这有助于你首先关注确认处于活动状态的机密,从而确定修正的优先级。

可以为检测到的机密启用自动有效性检查。 启用后,GitHub 将定期通过将该密钥发送给签发方,并根据该服务提供的 API 对其进行验证,来检查已检测到的凭据是否有效。 可对来自许多服务提供商的机密信息进行有效性检查,并且随着 GitHub 与更多服务建立合作,支持范围还将持续扩大。

GitHub 检查凭据的有效性时,确定隐私优先级。 我们通常发出 GET 请求,选择最不侵入性的终结点,并选择不返回任何个人信息的终结点。

GitHub 在警报视图中显示机密的验证状态,以便查看机密是 activeinactive还是验证状态 unknown。 可以选择在警报界面中对密钥执行按需有效性检查。

关于扩展元数据检查

注意

安全配置中的扩展元数据检查目前为公共预览版,可能会更改。

扩展元数据检查提供有关检测到的机密 的其他上下文信息 。 它们通常称为其他工具中的 分析器

如果启用了有效性检查,则可以启用扩展元数据检查。 然后,你将获得可帮助你的信息:

  • 深入了解检测到的机密:了解谁拥有机密。
  • 确定修正优先级:了解每个公开机密的范围和影响。
  • 改进事件响应:在泄露机密时快速识别负责任的团队或个人。
  • 增强合规性:确保机密与组织的治理和安全策略保持一致。
  • 减少误报:使用附加上下文来确定检测是否需要处理。

可用的具体元数据取决于服务提供商与 GitHub 共享哪些内容。 并非所有机密类型都支持扩展元数据检查。 有关详细信息,请参阅“评估机密扫描警报”。

有效性检查和扩展元数据检查入门

可以在存储库、组织或企业级别启用有效性和扩展的元数据检查,以帮助确定公开凭据构成最直接的安全风险的优先级。

对于大型组织,我们建议使用 安全配置 在组织或企业级启用这些功能。 安全配置允许集中管理 secret scanning 设置,并在多个存储库中一致地应用这些设置。

开始之前: