关于有效性检查
有效性检查是 secret scanning 的一项功能,用于验证检测到的密钥是否仍然处于激活状态并可能被利用。这帮助您通过首先关注已确认处于激活状态的密钥来优先进行修复。
您可以为检测到的密钥启用自动有效性检查。启用后,GitHub 会定期通过向发行方发送密钥并使用该服务提供的 API 对其进行测试,从而检查凭证的有效性。有效性检查支持许多服务提供商的密钥,随着 GitHub 与更多服务合作,支持范围将持续扩大。
GitHub 在检查凭证有效性时优先保护隐私。我们通常只发送 GET 请求,选择最不具侵入性的端点,并挑选不会返回任何个人信息的端点。
GitHub 在警报视图中显示密钥的验证状态,您可以看到密钥是 active、inactive,或验证状态为 unknown。您还可以在警报视图中选择性地执行一次“按需”有效性检查。
关于扩展元数据检查
注意
安全配置中的扩展元数据检查目前处于公开预览阶段,可能会有变动。
扩展元数据检查提供 额外的上下文信息,帮助您了解检测到的密钥。它们在其他工具中通常被称为 分析器。
如果已启用有效性检查,您可以开启扩展元数据检查。随后,您将获得有助于
- 深入了解检测到的密钥:了解密钥的所有者。
- 优先修复:了解每个泄露密钥的范围和影响。
- 改进事件响应:在密钥泄露时快速识别负责的团队或个人。
- 提升合规性:确保密钥符合组织的治理和安全政策。
- 降低误报率:利用额外的上下文判断检测是否需要采取行动。
具体可用的元数据取决于服务提供商与 GitHub 共享的内容。并非所有密钥类型都支持扩展元数据检查。更多信息,请参见 评估 secret scanning 警报。
开始使用有效性和扩展元数据检查
注意
自 2026 年 2 月 18 日起,GitHub 将为已启用有效性检查的仓库自动开启扩展元数据检查。对于受安全配置管理的仓库,GitHub 将更新这些配置并将该功能应用到关联的仓库中。这是一次性迁移,旨在帮助组织在无需手动配置的情况下受益于增强的元数据。
您可以在仓库、组织或企业层面启用有效性和扩展元数据检查,以帮助优先处理最紧迫的安全风险的泄露凭证。
对于大型组织,我们建议使用 安全配置 在组织或企业层面启用这些功能。安全配置允许您集中管理 secret scanning 设置,并在众多仓库中保持一致的应用。
入门
- 针对仓库,请参阅 为您的仓库启用有效性检查
- 针对组织,请参阅 创建自定义安全配置
- 针对企业,请参阅 为您的企业创建自定义安全配置