Около оповещения о сканировании секретов для партнеров
GitHub Сканирует публичные репозитории и пакеты публичных NPM на наличие секретов, выданных конкретными поставщиками услуг, присоединившихся к нашей партнёрской программе, и уведомляет соответствующего провайдера при обнаружении секрета в коммите. Поставщик услуг проверяет строку и решает, следует ли ему отозвать секрет, выдать новый или связаться с вами напрямую. Его действие будет зависеть от того, какие риски при возникают для него или для вас.
Сведения о нашей партнерской программе см. в разделе Партнерская программа сканирования секретов.
Примечание.
Вы не можете изменить конфигурацию secret scanning для партнёрских паттернов в публичных репозиториях.
Оповещения о сканировании секретов для партнеров Сканы:
- Описания и комментарии в проблемах
- Заголовки, описания и комментарии в открытых и закрытых исторических выпусках
- Заголовки, описания и комментарии в запросах на вытягивание
- Заголовки, описания и комментарии в GitHub Discussions
- Вики
- Секретные суть
Причина отправки оповещений партнера непосредственно поставщикам секретов при обнаружении утечки для одного из секретов заключается в том, что это позволяет поставщику немедленно предпринять действия по защите и защите своих ресурсов. Процесс уведомлений для регулярных оповещений отличается. Регулярные оповещения отображаются на вкладке Security and quality репозитория GitHub для их разрешения.
Если для доступа к ресурсу требуются парные учетные данные, при сканировании секретов оповещение создается только в том случае, если обе части пары будут обнаружены в одном файле. Это гарантирует, что данные о частичных утечках не скрывают наиболее критичные утечки. Сопоставление пар также помогает уменьшить ложные срабатывания, так как оба элемента пары должны использоваться вместе для доступа к ресурсу поставщика.
Что такое поддерживаемые секреты
Сведения о секретах и поставщиках услуг, поддерживаемых защитой push-уведомлений, см. в разделе Поддерживаемые шаблоны сканирования секретов.