修复警报
一旦机密被提交到仓库,您应视其为已泄露。GitHub 对已泄露的机密建议采取以下措施
- 验证提交到 GitHub 的机密是否有效。仅适用于 GitHub 令牌。请参阅 检查机密的有效性 和 执行按需有效性检查。
- 对于在私有仓库中检测到的机密,请向 GitHub 报告泄露的机密,GitHub 将像处理公开泄露的机密一样撤销它。仅适用于活跃或未确认的 GitHub 个人访问令牌。请参阅 在私有仓库中报告泄露的机密。
- 审查并更新所有使用旧令牌的服务。对于 GitHub 个人访问令牌,请删除已泄露的令牌并创建新令牌。请参阅 管理您的个人访问令牌。
- 根据机密提供者的不同,请检查您的安全日志是否有任何未授权活动。
在私有仓库中报告泄露的机密
注意
向 GitHub 报告私下泄露的机密目前处于公开预览阶段,可能会更改。此功能目前仅适用于 GitHub 个人访问令牌 (v1 和 v2)。
-
在 GitHub 上,导航至仓库的主页面。
-
在仓库名称下,点击 安全与质量 选项卡。如果您看不到 “在 “Security and quality” 选项卡中,选择 下拉菜单,然后点击 安全与质量。
-
在左侧边栏的 “漏洞警报” 下,点击 Secret scanning。
-
在警报列表中,点击您想查看的警报。
-
在泄露机密的警报视图中,点击 Report leak。
注意
为了避免破坏工作流,建议在继续操作前先轮换机密,因为披露它可能导致机密被撤销。如果可能,您还应联系令牌所有者,告知泄露情况并协调补救计划。
-
查看对话框中的信息,然后点击 我理解后果,报告此机密。
关闭警报
注意
当相应的令牌已从仓库中移除时,机密扫描不会自动关闭警报。您必须在 GitHub 的警报列表中手动关闭这些警报。
-
在 GitHub 上,导航至仓库的主页面。
-
在仓库名称下,点击 安全与质量 选项卡。如果您看不到 “在 “Security and quality” 选项卡中,选择 下拉菜单,然后点击 安全与质量。
-
在左侧边栏的 “漏洞警报” 下,点击 Secret scanning。
-
在 “Secret scanning” 下,点击您想查看的警报。
-
要忽略警报,请选择 “Close as” 下拉菜单并点击一个解决警报的原因。
-
可选地,在 “Comment” 字段中添加忽略评论。此评论将被添加到警报时间线,可在审计和报告时用作依据。
-
点击 Close alert。
