关于评估警报
还有一些额外功能,可帮助您评估警报,以更好地对其进行优先排序和管理。您可以
- 检查机密的有效性,以查看该机密是否仍处于活动状态。仅适用于 GitHub 令牌。请参阅 检查机密的有效性。
- 执行“按需”有效性检查,以获取最新的验证状态。请参阅 执行按需有效性检查。
- 审查令牌的元数据。仅适用于 GitHub 令牌。例如,查看令牌上次使用的时间。请参阅 审查 GitHub 令牌元数据。
- 审查已暴露机密的扩展元数据检查,以查看诸如机密所有者以及如何联系机密所有者等详细信息。仅适用于 OpenAI API、Google OAuth 和 Slack 令牌。请参阅 审查令牌的扩展元数据。
- 审查分配给该警报的标签。如需更多信息,请参阅 审查警报标签。
检查机密的有效性
有效性检查通过告诉您哪些机密是 active(活动)或 inactive(非活动)来帮助您对警报进行优先级排序。active(活动)机密仍可能被利用,因此这些警报应作为优先事项进行审查和修复。
默认情况下,GitHub 会检查 GitHub 令牌的有效性,并在警报视图中显示令牌的验证状态。
使用 GitHub Team、拥有 GitHub 机密保护许可的 GitHub Enterprise Cloud,或拥有 GitHub 机密保护许可的 GitHub Enterprise Server 的组织,也可以为合作伙伴模式启用有效性检查。更多信息请参阅 检查机密的有效性。
| 有效性 | 状态 | 结果 |
|---|---|---|
| 活动机密 | 活动 | GitHub 已向此机密的提供商进行检查,发现该机密处于活动状态 |
| 可能是活动机密 | 未知 | GitHub 尚不支持此令牌类型的验证检查 |
| 可能是活动机密 | 未知 | GitHub 无法验证此机密 |
| 机密不活跃 | 不活跃 | 您应确保尚未发生未经授权的访问 |
以下仓库类型提供合作伙伴模式的有效性检查
- 在 GitHub Team 上启用了GitHub 机密保护的组织所有仓库
有关如何为合作伙伴模式启用有效性检查的信息,请参阅 为您的仓库启用有效性检查;有关当前支持的合作伙伴模式的信息,请参阅 受支持的机密扫描模式。
您可以通过使用安全配置(在企业层面或组织层面设置)来为合作伙伴模式启用有效性检查。请参阅 为企业创建自定义安全配置 和 为组织创建自定义安全配置。
有关当前支持的合作伙伴模式的信息,请参阅 受支持的机密扫描模式。
您可以使用 REST API 获取每个令牌最新的验证状态列表。更多信息请参阅 REST API 文档中的 机密扫描的 REST API 端点。您还可以使用 Webhook 在机密扫描警报相关活动发生时收到通知。更多信息请参阅 secret_scanning_alert 事件,位于《Webhook 事件和有效负载》页面中。
执行按需有效性检查
在为仓库启用合作伙伴模式的有效性检查后,您可以通过在警报视图中点击 验证机密 来对任何受支持的机密执行“按需”有效性检查。GitHub 将向相关合作伙伴发送模式,并在警报视图中显示机密的验证状态。
审查 GitHub 令牌元数据
注意
GitHub 令牌的元数据目前处于公开预览阶段,可能会更改。
在活动的 GitHub 令牌警报视图中,您可以查看该令牌的部分元数据。这些元数据可能帮助您识别令牌并决定采取何种修复措施。
令牌(如个人访问令牌和其他凭证)被视为个人信息。有关使用 GitHub 令牌的更多信息,请参阅 GitHub 隐私声明 和 可接受使用政策。
在启用了机密扫描的任何仓库中,针对活动令牌可获取 GitHub 令牌的元数据。如果令牌已被撤销或其状态无法验证,则元数据不可用。GitHub 会自动撤销公共仓库中的 GitHub 令牌,因此公共仓库中的令牌元数据通常不可用。以下元数据适用于活动的 GitHub 令牌:
| 元数据 | 描述 |
|---|---|
| 机密名称 | 创建者为 GitHub 令牌指定的名称 |
| 机密所有者 | 令牌所有者的 GitHub 账号 |
| 创建于 | 令牌创建的日期 |
| 到期于 | 令牌到期的日期 |
| 上次使用于 | 令牌最近一次使用的日期 |
| 访问权限 | 令牌是否具有组织访问权限 |
审查令牌的扩展元数据
注意
令牌的扩展元数据检查目前处于公开预览阶段,可能会更改。
在活动的 GitHub 令牌警报视图中,您可以看到扩展元数据信息,例如所有者和联系方式。
下表显示了 所有可用的元数据。请注意,元数据检查目前仅限于 OpenAI API、Google OAuth 和 Slack 令牌,并且针对每个令牌显示的元数据可能仅是其全部信息的一个子集。
| 元数据类型 | 描述 |
|---|---|
| 所有者 ID | 提供方为拥有该机密的用户或服务账户分配的唯一标识符 |
| 所有者名称 | 机密所有者的可读用户名或显示名称 |
| 所有者邮箱 | 与所有者关联的电子邮件地址 |
| 组织名称 | 机密所属的组织 / 工作区 / 项目名称 |
| 组织 ID | 提供方为该组织分配的唯一标识符 |
| 机密发行日期 | 机密(令牌或密钥)创建或最近一次发行的时间戳 |
| 机密失效日期 | 机密计划失效的时间戳 |
| 机密名称 | 人工分配的机密显示名称或标签 |
| 机密 ID | 提供方为该机密分配的唯一标识符 |
审查警报标签
在警报视图中,您可以审查分配给该警报的所有标签。这些标签提供了关于警报的额外细节,可帮助您决定修复的方案。
机密扫描警报可能会被分配以下标签。根据分配的标签,您将在警报视图中看到额外信息。
| 标签 | 描述 | 警报视图信息 |
|---|---|---|
公开泄漏 | 在您的仓库中检测到的机密也已被至少一次 GitHub 对代码、讨论、gist、问题、拉取请求和维基的扫描识别为公开泄漏。您可能需要更紧急地处理此警报,或采取与私人暴露令牌不同的修复方式。 | 您将看到指向检测到泄漏机密的具体公开位置的链接。 |
多仓库 | 在您的仓库中检测到的机密已在组织或企业的多个仓库中出现。此信息可帮助您在组织或企业范围内更轻松地去重该警报。 | 如果您拥有相应权限,您将看到指向组织或企业中同一机密的具体警报的链接。 |