О secret scanning закономерностях
Существует двух типа:Оповещения о сканировании секретов
- Оповещения о проверке секретов пользователя: сообщаются пользователям во Security вкладке репозитория, когда поддерживаемый секрет обнаруживается в репозитории.
- Оповещения о защите от нажатия: Сообщается пользователям во Security вкладке репозитория, когда участник обходит защиту от push.
Подробные сведения о каждом типе оповещения см. в разделе Сведения о оповещениях проверки секретов.
Если вы используете REST API для secret scanning, вы можете Secret type отчётывать о секретах от конкретных эмитентов. Дополнительные сведения см. в разделе Конечные точки REST API для проверки секретов.
Категории узоров
| Category | Description | Подход к обнаружению | Пример |
|---|---|---|---|
| Общие вопросы | Секреты, не связанные с конкретным провайдером, такие как приватные ключи и строки подключения к базе данных | На основе регулярных выражений | rsa_private_key |
| Обнаружено ИИ | Общие пароли, обнаруженные с Секретное сканирование Copilot помощью моделей ИИ | На основе ИИ | password |
| Поставщик | Секреты, привязанные к конкретному поставщику услуг (например, AWS, Azure, Stripe) | На основе регулярных выражений | aws_access_key_id |
Возможности по категориям
| Capability | Общие паттерны | Обнаружено ИИ | Паттерны поставщиков |
|---|---|---|---|
| Оповещения пользователей | |||
| Уведомления партнёров | |||
| (если партнёр) | |||
| Защита от пуша (по умолчанию) | |||
| (большинство) | |||
| Защита от толчка (настраиваемая) | Some | ||
| Проверки действительности | Some | ||
| Расширенные метаданные | Some | ||
| Поддержка формата Base64 | Some |
[! ПРИМЕЧАНИЕ] Проверки валидности и расширенных метаданных доступны только пользователям, которые GitHub Team включают эту функцию в GitHub Enterpriseрамках GitHub Secret Protection .
Поддерживаемые дженерические паттерны
Уровни точности оцениваются на основе типичных показателей ложноположительных результатов типа паттерна.
| Provider | Токен | Description | Точность |
|---|---|---|---|
| Общий | ec_private_key | Приватные ключи с эллиптической кривой (EC), используемые для криптографических операций | High |
| Общий | generic_private_key | Криптографические приватные ключи с -----BEGIN PRIVATE KEY----- заголовком | High |
| Общий | http_basic_authentication_header | Учётные данные HTTP Basic для аутентификации в заголовках запросов | Средний |
| Общий | http_bearer_authentication_header | Токены носителя HTTP, используемые для аутентификации API | Средний |
| Общий | mongodb_connection_string | Строки соединения для баз данных MongoDB, содержащие учетные данные | High |
| Общий | mysql_connection_url | Строки соединения для баз данных MySQL, содержащие учетные данные | High |
| Общий | openssh_private_key | Приватные ключи в формате OpenSSH, используемые для аутентификации SSH | High |
| Общий | pgp_private_key | PGP (Pretty Good Privacy) приватные ключи, используемые для шифрования и подписи | High |
| Общий | postgres_connection_string | Строки соединения для баз данных PostgreSQL, содержащие учетные данные | High |
| Общий | rsa_private_key | RSA-приватные ключи, используемые для криптографических операций | High |
Примечание.
Проверки действительности не поддерживаются для шаблонов дженериков/непоставщиков.
Поддерживаемые шаблоны поставщиков
Используйте таблицу ниже для поиска, фильтрации и просмотра всех поддерживаемых шаблонов. Вы можете фильтровать по имени провайдера, поддержке защиты от push, проверке действительности и многому другому.
Примечание.
Поставщики служб периодически обновляют шаблоны, используемые для создания маркеров, и могут поддерживать несколько версий маркера. Защита от пуша поддерживает только самые свежие версии токенов, которые secret scanning могут идентифицировать себя с уверенностью. Это позволяет избежать фиксации блокировки принудительной защиты, если результат может быть ложным срабатыванием, что, скорее всего, произойдет с устаревшими маркерами.
Отображение 501 501 шаблонов
Поддерживаемые шаблоны
| Секрет | Партнёр | Предупреждение пользователя | Защита от push-уведомлений | Проверка допустимости | Проверка метаданных | Base64 | |
|---|---|---|---|---|---|---|---|
| 1Password | 1Password Service Account Token
| ✗ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Adafruit | Adafruit IO Key
| ✓ | ✓ | ✓ | ✓ | ✓ | ✗ |
| Adobe | Adobe Client Secret
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Adobe | Adobe Device Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Adobe | Adobe PAC Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Adobe | Adobe Refresh Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Adobe | Adobe Service Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Adobe | Adobe Short-Lived Access Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Aikido | Aikido API Client Secret
| ✗ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Aikido | Aikido CI Scanning Token
| ✗ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Airtable | Airtable API Key
| ✗ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Airtable | Airtable Personal Access Token
| ✗ | ✓ | ✓ | ✓ | ✗ | ✗ |
| Aiven | Aiven Auth Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Aiven | Aiven Service Password
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Alibaba | Alibaba Cloud AccessKey ID
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Amazon AWS | Amazon AWS Access Key ID
| ✓ | ✓ | ✓ | ✓ | ✗ | ✓ |
| Amazon AWS | Amazon AWS API Key ID
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Amazon AWS | Amazon AWS Session Token
| ✗ | ✓ | ✓ | ✓ | ✗ | ✗ |
| Anthropic | Anthropic Admin API Key
| ✓ | ✓ | ✓ | ✓ | ✗ | ✗ |
| Anthropic | Anthropic API Key
| ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Anthropic | Anthropic Session ID
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Apify | Apify Actor Run API Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Apify | Apify Actor Run Proxy Password
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |
| Apify | Apify API Token
| ✓ | ✓ | ✓ | ✓ | ✓ | ✗ |
| Apify | Apify Integration API Token
| ✓ | ✓ | ✓ | ✗ | ✗ | ✗ |