关于有效性检查
有效性检查是 secret scanning 的一项功能,用于验证检测到的机密是否仍处于活动状态并可能被利用。 这有助于你首先关注确认处于活动状态的机密,从而确定修正的优先级。
可以为检测到的机密启用自动有效性检查。 启用后,GitHub 将定期检查检测到的凭据的有效性,方法是将机密发送给颁发者,并根据该服务提供的 API 对其进行测试。 许多服务提供商的机密都可以进行有效性检查,随着 GitHub 与其他服务合作,支持范围将继续扩大。
GitHub 在检查凭据的有效性时优先考虑隐私。 我们通常发出 GET 请求,选择最不侵入性的终结点,并选择不返回任何个人信息的终结点。
GitHub 在警报视图中显示机密的验证状态,因此可以查看机密是否为 active, inactive或者验证状态是否为 unknown。 可以选择在警报界面中对密钥执行按需有效性检查。
关于扩展元数据检查
注意
安全配置中的扩展元数据检查目前为公共预览版,可能会更改。
扩展元数据检查提供有关检测到的机密 的其他上下文信息 。 它们通常称为其他工具中的 分析器 。
如果启用了有效性检查,则可以启用扩展元数据检查。 然后,你将获得可帮助你的信息:
-
**深入了解检测到的机密**:了解谁拥有机密。 -
**确定修正优先级**:了解每个公开机密的范围和影响。 -
**改进事件响应**:在泄露机密时快速识别负责任的团队或个人。 -
**增强合规性**:确保机密与组织的治理和安全策略保持一致。 -
**减少误报**:使用附加上下文来确定检测是否需要处理。
可用的特定元数据取决于服务提供商与 GitHub共享的内容。 并非所有机密类型都支持扩展元数据检查。 有关详细信息,请参阅“评估机密扫描警报”。
有效性检查和扩展元数据检查入门
注意
从 2026 年 2 月 18 日开始,GitHub 将自动为启用了有效性检查的存储库启用扩展元数据检查。 对于安全配置管理的存储库,GitHub 将更新这些配置,并将该功能应用于附加的存储库。 这是一次性过渡,可帮助组织从增强的元数据中受益,而无需手动配置。
可以在存储库、组织或企业级别启用有效性和扩展的元数据检查,以帮助确定公开凭据构成最直接的安全风险的优先级。
对于大型组织,我们建议使用 安全配置 在组织或企业级启用这些功能。 通过安全配置,您可以集中管理secret scanning设置,并在多个存储库中一致应用它们。
开始之前:
- 有关存储库,请参阅 为存储库启用有效性检查
- 对于组织,请参阅 删除自定义安全配置
- 对于企业版,请参阅 为企业创建自定义安全配置