Определение пользовательских шаблонов для проверки секретов

Защитите свои уникальные тайные типы, определяя индивидуальные шаблоны с регулярными выражениями.

Кто может использовать эту функцию?

Владельцы репозитория, владелец организации, руководители безопасности, администраторы предприятия и пользователи с ролью администратора

Репозитории, принадлежащие организации, на GitHub Team или GitHub Enterprise с включённым GitHub Secret Protection

В этой статье

Определение пользовательского паттерна с помощью Copilot

Вы можете использовать Секретное сканирование Copilot для генерации регулярных выражений на основе текстового описания нужного типа шаблона, включая дополнительные примеры строк, которые должны быть обнаружены. См . раздел AUTOTITLE.

Определение пользовательского шаблона для репозитория

Перед определением настраиваемого шаблона необходимо убедиться, что Secret Protection включен в репозитории. Дополнительные сведения см. в разделе Включение проверки секретов для репозитория.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Безопасность" боковой панели щелкните Advanced Security.

  4. В разделе "Secret Protection" справа от "Пользовательские шаблоны" нажмите кнопку "Создать шаблон". 1. Введите сведения о новом пользовательском шаблоне. Необходимо по крайней мере указать имя шаблона и регулярное выражение для формата шаблона секрета.

    1. В поле "Имя шаблона" введите имя шаблона.
    2. В поле «Секретный формат» введите регулярное выражение формата вашего секретного узора.
    3. Вы можете щелкнуть дополнительные параметры для предоставления другого окружающего содержимого или дополнительных требований соответствия для формата секрета. См . раздел AUTOTITLE.
    4. Предоставьте пример тестовой строки для проверки соответствия конфигурации ожидаемым шаблонам.

    Снимок экрана: заполненная настраиваемая форма данных secret scanning.

  5. Когда вы будете готовы протестировать новый пользовательский шаблон, чтобы определить совпадения в репозитории без создания оповещений, нажмите кнопку Сохранить и выполнить пробный прогон.

  6. По завершении пробного запуска вы увидите выборку результатов (до 1000). Проверьте результаты и определите ложноположительные.

    Снимок экрана: результаты сухого запуска.

  7. Измените новый пользовательский шаблон, чтобы устранить все проблемы с результатами, а затем, чтобы протестировать изменения, щелкните Сохранить и выполнить пробный запуск.

  8. Когда вы удовлетворены новым пользовательским шаблоном, нажмите кнопку "Опубликовать шаблон".

  9. При необходимости, чтобы включить защиту push-уведомлений для пользовательского шаблона, нажмите кнопку "Включить". Дополнительные сведения см. в разделе Сведения о защите push-уведомлений.

    Примечание.

    Кнопка "Включить" недоступна до тех пор, пока не будет выполнено сухое выполнение, и вы публикуете шаблон.

После создания шаблона данных, многократно используемых.secret-scanning.secret-scanning-process %} Дополнительные сведения о просмотре Оповещения о сканировании секретовсм. в разделе Управление оповещениями проверки секретов.

Определение пользовательского шаблона для организации

Перед определением пользовательского шаблона необходимо включить secret scanning для репозиториев, которые требуется сканировать в организации. Можно использовать security configurations для включения secret scanning во всех репозиториях в вашей организации. Дополнительные сведения см. в разделе Сведения о включении функций безопасности в масштабе.

  1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

  2. Выберите организацию, кликнув по ней.

  3. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: вкладки в профиле организации. Вкладка "Параметры" выделена темно-оранжевым цветом.

  4. В разделе "Безопасность" боковой панели выберите раскрывающееся меню Advanced Security и выберите Global settings.

  5. В разделе "Пользовательские шаблоны" нажмите кнопку "Создать шаблон".

  6. Введите сведения о новом пользовательском шаблоне. Необходимо по крайней мере указать имя шаблона и регулярное выражение для формата шаблона секрета.

    1. В поле "Имя шаблона" введите имя шаблона.
    2. В поле «Секретный формат» введите регулярное выражение формата вашего секретного узора.
    3. Вы можете щелкнуть дополнительные параметры для предоставления другого окружающего содержимого или дополнительных требований соответствия для формата секрета. См . раздел AUTOTITLE.
    4. Предоставьте пример тестовой строки для проверки соответствия конфигурации ожидаемым шаблонам.

    Снимок экрана: заполненная настраиваемая форма данных secret scanning.

  7. Когда вы будете готовы протестировать новый пользовательский шаблон, чтобы определить совпадения в выбранных репозиториях без создания оповещений, нажмите кнопку Сохранить и выполнить пробный прогон.

  8. Выберите репозитории, в которых требуется выполнить пробное выполнение.

    • Чтобы выполнить пробное выполнение во всей организации, щелкните Все репозитории в организации.
    • Чтобы указать репозитории, в которых требуется выполнить пробное выполнение, щелкните Выбранные репозитории, а затем найдите и выберите до 10 репозиториев.

  9. Когда вы будете готовы протестировать новый пользовательский шаблон, щелкните Выполнить.

  10. По завершении пробного запуска вы увидите выборку результатов (до 1000). Проверьте результаты и определите ложноположительные.

    Снимок экрана: результаты сухого запуска.

  11. Измените новый пользовательский шаблон, чтобы устранить все проблемы с результатами, а затем, чтобы протестировать изменения, щелкните Сохранить и выполнить пробный запуск.

  12. Когда вы удовлетворены новым пользовательским шаблоном, нажмите кнопку "Опубликовать шаблон".

  13. При необходимости, чтобы включить защиту push-уведомлений для пользовательского шаблона, нажмите кнопку "Включить". Дополнительные сведения см. в разделе Сведения о защите push-уведомлений.

    Примечание.

    • Параметр включения защиты push-уведомлений отображается только для опубликованных шаблонов.
    • Защита от отправки пользовательских шаблонов применяется только к репозиториям в вашей организации, которые имеют secret scanning в качестве включенной защиты push-уведомлений.
    • Включение защиты push-уведомлений для часто найденных пользовательских шаблонов может быть нарушено для участников.

После создания шаблона secret scanning проверяет все секреты в репозиториях организации, включая полный журнал Git во всех ветвях. Владельцы организации и администраторы репозитория будут оповещены обо всех обнаруженных секретах и смогут просмотреть оповещение в репозитории, где обнаружен секрет. Дополнительные сведения о просмотре Оповещения о сканировании секретовсм. в разделе Управление оповещениями проверки секретов.

Определение пользовательского шаблона для учетной записи предприятия

Примечание.

  • На уровне предприятия только создатель пользовательского шаблона может изменять шаблон и использовать его в пробном прогоне.
  • Вы можете выполнять только сухой запуск в репозиториях, к которым у вас есть доступ к администрирования. Если владелец предприятия хочет получить доступ к выполнению сухих запусков в любом репозитории в организации, им необходимо назначить роль владелец организации. Дополнительные сведения см. в разделе Управление ролью в организации, принадлежащей предприятию.

  1. Перейдите к своему предприятию. Например, на странице Enterprises на GitHub.com.

  2. В левой части страницы на боковой панели учетной записи предприятия щелкните Policies.

  3. В разделе "Policies", щелкните Advanced Security.

  4. В разделе "Advanced Security" щелкните "Функции безопасности".

  5. В разделе "Сканирование секретов настраиваемых шаблонов" нажмите кнопку "Создать шаблон".

  6. Введите сведения о новом пользовательском шаблоне. Необходимо по крайней мере указать имя шаблона и регулярное выражение для формата шаблона секрета.

    1. В поле "Имя шаблона" введите имя шаблона.
    2. В поле «Секретный формат» введите регулярное выражение формата вашего секретного узора.
    3. Вы можете щелкнуть дополнительные параметры для предоставления другого окружающего содержимого или дополнительных требований соответствия для формата секрета. См . раздел AUTOTITLE.
    4. Предоставьте пример тестовой строки для проверки соответствия конфигурации ожидаемым шаблонам.

    Снимок экрана: заполненная настраиваемая форма данных secret scanning.

  7. Когда вы будете готовы протестировать новый пользовательский шаблон, чтобы найти совпадения в вашей корпорации, но не создавать оповещения, нажмите кнопку Сохранить и выполнить пробный запуск.

  8. Найдите и выберите до 10 репозиториев, в которых требуется выполнить пробный запуск.

  9. Когда вы будете готовы протестировать новый пользовательский шаблон, щелкните Выполнить.

  10. По завершении пробного запуска вы увидите выборку результатов (до 1000). Проверьте результаты и определите ложноположительные.

    Снимок экрана: результаты сухого запуска.

  11. Измените новый пользовательский шаблон, чтобы устранить все проблемы с результатами, а затем, чтобы протестировать изменения, щелкните Сохранить и выполнить пробный запуск.

  12. Когда вы удовлетворены новым пользовательским шаблоном, нажмите кнопку "Опубликовать шаблон".

  13. При необходимости, чтобы включить защиту push-уведомлений для пользовательского шаблона, нажмите кнопку "Включить". Дополнительные сведения см. в разделе Сведения о защите push-уведомлений.

    Примечание.

    • Чтобы включить защиту push-уведомлений для пользовательских шаблонов, secret scanning в качестве защиты push-уведомлений необходимо включить на уровне предприятия.
    • Включение защиты push-уведомлений для часто найденных пользовательских шаблонов может быть нарушено для участников.

После создания шаблона secret scanning сканирует все секреты в репозиториях в организациях с включенными GitHub Secret Protection, включая всю историю Git во всех ветвях. Владельцы организации и администраторы репозитория будут оповещены обо всех обнаруженных секретах и смогут просмотреть оповещение в репозитории, где обнаружен секрет. Дополнительные сведения о просмотре Оповещения о сканировании секретовсм. в разделе Управление оповещениями проверки секретов.

Дополнительные материалы