关于合作伙伴的机密扫描警报
GitHub 会扫描公共仓库和公共 npm 包,查找由加入我们合作伙伴计划的特定服务提供商发布的机密,并在提交中检测到机密时向相关服务提供商发送警报。服务提供商会验证该字符串,然后决定是撤销机密、颁发新机密,还是直接联系您。其行动取决于对您或他们的相关风险。要了解我们的合作伙伴计划,请参阅 机密扫描合作伙伴计划。
注意
您无法更改公共仓库中合作伙伴模式的机密扫描配置。
合作伙伴的机密扫描警报扫描
- 议题中的描述和评论
- 在打开和已关闭的历史议题中的标题、描述和评论
- 拉取请求中的标题、描述和评论
- GitHub 讨论中的标题、描述和评论
- Wiki
- 机密 Gist
当检测到其机密泄露时,合作伙伴警报会直接发送给机密提供商,原因是这使得提供商能够立即采取行动,保护您和他们的资源。常规警报的通知流程则不同。常规警报会显示在仓库的 安全与质量 选项卡中,供您在 GitHub 上处理。
如果访问资源需要成对的凭证,则机密扫描仅在同一文件中检测到该对的两个部分时才会生成警报。这确保最关键的泄露不会被部分泄露信息所掩盖。配对匹配还有助于降低误报,因为只有同时使用该对的两个元素才能访问提供商的资源。
支持的机密有哪些
有关推送保护支持的机密和服务提供商的信息,请参阅 受支持的机密扫描模式。