关于合作伙伴的密钥扫描警报
GitHub 会扫描公共存储库和公共 npm 包中由加入我们合作伙伴计划的特定服务提供商发出的密钥,并在提交中检测到密钥时向相关服务提供商发出警报。服务提供商会验证字符串,然后决定是否应吊销密钥、发出新密钥或直接与您联系。他们的操作将取决于与您或他们相关的风险。要了解有关我们合作伙伴计划的信息,请参阅“密钥扫描合作伙伴计划”。
注意
您无法更改公共存储库上合作伙伴模式的密钥扫描配置。
每当检测到其密钥泄露时,合作伙伴警报会直接发送给密钥提供商的原因是,这使提供商能够立即采取措施来保护您和保护其资源。常规警报的通知过程有所不同。常规警报会显示在 GitHub 上存储库的“**安全**”选项卡上,供您解决。
如果访问资源需要配对凭据,则只有当在同一文件中检测到配对的两部分时,密钥扫描才会创建警报。这可确保最关键的泄露不会隐藏在有关部分泄露的信息后面。配对匹配还有助于减少误报,因为必须同时使用配对的两个元素才能访问提供商的资源。
支持哪些密钥
有关推送保护支持的密钥和服务提供商的信息,请参阅“支持的密钥扫描模式”。
进一步阅读
- "关于密钥扫描"
- "支持的密钥扫描模式"
- "密钥扫描合作伙伴计划"