修复警报
密钥一旦提交到存储库,您就应将其视为已泄露。GitHub 建议对泄露的密钥采取以下操作
- 验证提交到 GitHub 的密钥是否有效。**仅适用于 GitHub 令牌**。请参阅“检查密钥的有效性”。
- 查看并更新使用旧令牌的任何服务。对于 GitHub 个人访问令牌,请删除泄露的令牌并创建一个新令牌。请参阅“管理您的个人访问令牌”。
- 根据密钥提供商的不同,检查您的安全日志中是否有任何未经授权的活动。
如果在 GitHub 上的 **公共** 存储库中检测到密钥,并且该密钥也与受支持的合作伙伴模式匹配,则潜在密钥将 **自动报告** 给服务提供商。有关所有受支持的合作伙伴模式的详细信息,请参阅“受支持的密钥扫描模式”。
关闭警报
注意
当相应令牌已从存储库中删除时,密钥扫描不会自动关闭警报。您必须在 GitHub 的警报列表中手动关闭这些警报。
-
在 GitHub 上,导航到存储库的主页。
-
在存储库名称下方,单击 ** 安全**。如果您看不到“安全”选项卡,请选择 **** 下拉菜单,然后单击 **安全**。
-
在左侧边栏的“漏洞警报”下,单击 **密钥扫描**。
-
在“密钥扫描”下,单击您要查看的警报。
-
要关闭警报,请选择“关闭为”下拉菜单,然后单击解决警报的原因。
-
可选:在“评论”字段中,添加关闭评论。关闭评论将添加到警报时间线,并可在审计和报告期间用作依据。您可以在警报时间线中查看所有已关闭警报和关闭评论的历史记录。您还可以使用密钥扫描 API 检索或设置评论。该评论包含在
resolution_comment字段中。有关更多信息,请参阅 REST API 文档中的“密钥扫描的 REST API 端点”。 -
单击 **关闭警报**。
