修复警报
只要密码被提交到仓库,便应视为受到威胁。 GitHub 针对泄露的机密推荐以下操作:
- 验证提交到 GitHub 的机密是否有效。 仅适用于 GitHub 令牌****。 请参阅检查机密的有效性。请参阅执行按需有效性检查。
- 对于在专用存储库中检测到的机密,向 GitHub 报告该泄露的机密,其会将其视为任何公开泄露的机密并予以撤销。 仅适用于 GitHub personal access token。 请参阅报告泄露的机密。
- 审查并更新所有使用旧令牌的服务。 对于 GitHub personal access token,删除泄露的令牌并创建新令牌。 请参阅“管理个人访问令牌”。
- 根据机密提供商的不同,检查安全日志以查看是否存在任何未授权活动。
报告泄露的机密
注意
向 GitHub 报告私下暴露的机密为 公共预览版,可能会更改。 此功能目前仅适用于 GitHub personal access token(v1 和 v2)。
对于在专用存储库中检测到的机密,任何能够查看存储库的 机密扫描警报 的用户都可以选择直接向 GitHub 报告该私下泄露的机密。
通过报告该机密,令牌提供商会将私下泄露的机密视为公开泄露。 这意味着令牌提供商可能会撤销该机密,因此你应首先考虑审查并更新所有使用该机密的服务。 如果可能,你还应考虑在报告令牌之前通知令牌所有者,让令牌所有者知道该机密可能会被撤销。
只有满足以下条件,你才能看到向 GitHub 报告私下泄露机密的选项:
- 该机密是 GitHub personal access token。
- 该机密的有效性尚未确认,或已确认该机密的有效性为
active。
-
在 GitHub 上,导航到存储库的主页面。
-
在仓库名称下,单击 “Security”****。 如果看不到“Security”选项卡,请选择 下拉菜单,然后单击“Security”********。
-
在左侧边栏的“漏洞警报”下方,单击 Secret scanning。
-
从警报列表中,单击要查看的警报。
-
在泄露机密的警报视图中,单击“报告泄露”****。
注意
为避免中断工作流,建议在继续之前先轮换该机密,因为披露它可能导致机密被撤销。 如果可能,你还应联系令牌所有者,告知其泄露情况并协调修复计划。
-
查看对话框中的信息,然后单击“我了解后果,报告此机密”****。
关闭警报
注意
Secret scanning 不会在从存储库中移除相应的令牌时自动关闭警报。 你必须在 GitHub 的警报列表中手动关闭这些警报。
-
在 GitHub 上,导航到存储库的主页面。
-
在仓库名称下,单击 “Security”****。 如果看不到“Security”选项卡,请选择 下拉菜单,然后单击“Security”********。
-
在左侧边栏的“漏洞警报”下方,单击 Secret scanning。
-
在“Secret scanning”下,单击要查看的警报。
-
要消除警报,请选择“关闭原因”下拉菜单,然后单击原因以解决警报。
-
(可选)在“注释”字段中,添加消除注释。 消除操作注释将添加到警报时间线,可在审核和报告期间用作理由。 可以在警报时间线中查看所有已消除警报和消除注释的历史记录。 还可以使用 Secret scanning API 检索或设置注释。 注释包含在
resolution_comment字段中。 有关详细信息,请参阅 REST API 文档中的“适用于机密扫描的 REST API 终结点”。 -
单击“关闭警报”****。
Next steps
-
[AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/monitoring-alerts)