{"meta":{"title":"关于机密扫描","intro":"通过在利用机密之前自动检测公开的凭据，防止机密的欺诈性使用。","product":"安全性和代码质量","breadcrumbs":[{"href":"/zh/code-security","title":"安全性和代码质量"},{"href":"/zh/code-security/concepts","title":"Concepts"},{"href":"/zh/code-security/concepts/secret-security","title":"机密安全性"},{"href":"/zh/code-security/concepts/secret-security/about-secret-scanning","title":"机密扫描"}],"documentType":"article"},"body":"# 关于机密扫描\n\n通过在利用机密之前自动检测公开的凭据，防止机密的欺诈性使用。\n\n将 API 密钥和密码等凭据作为硬编码机密提交到存储库时，它们将成为未经授权的访问的目标。\nSecret scanning 自动检测凭据泄漏，以便可以在它们被利用之前对其进行保护。\n\n> \\[!TIP]\n> 随时可以针对泄露的机密运行对组织代码的免费评估。\n>\n> 若要生成报表，请打开 在你所在组织的 **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security and quality** 选项卡中，显示“评估”页面，然后单击“扫描你的组织”**<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-key\" aria-label=\"key\" role=\"img\"><path d=\"M10.5 0a5.499 5.499 0 1 1-1.288 10.848l-.932.932a.749.749 0 0 1-.53.22H7v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22H5v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22h-2A1.75 1.75 0 0 1 0 14.25v-2c0-.199.079-.389.22-.53l4.932-4.932A5.5 5.5 0 0 1 10.5 0Zm-4 5.5c-.001.431.069.86.205 1.269a.75.75 0 0 1-.181.768L1.5 12.56v1.69c0 .138.112.25.25.25h1.69l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l1.023-1.025a.75.75 0 0 1 .768-.18A4 4 0 1 0 6.5 5.5ZM11 6a1 1 0 1 1 0-2 1 1 0 0 1 0 2Z\"></path></svg>**\\*\\*\\*\\*。\n\n## 密钥扫描如何保护您的代码\n\n```\n          Secret scanning 在存储库的所有分支上扫描整个 Git 历史记录，以获取硬编码凭据，包括 API 密钥、密码、令牌和其他已知机密类型。 这有助于在出现安全风险之前识别机密蔓延、存储库中凭据不受控制的激增。 \n          GitHub 还会在添加新的机密类型时定期重新扫描存储库。\n\n          GitHub 还会自动扫描：\n```\n\n* 问题中的说明和注释\n* 标题、描述和评论，在开放和关闭的\\_历史\\_问题中\n* 拉取请求中的标题、描述和评论\n* 标题、描述和评论中的 GitHub Discussions\n* 维基\n* 私密代码片段\n\n###\n\n```\n          Secret scanning 警报和修正\n```\n\n检测到凭据泄漏时 secret scanning ， GitHub 会在存储库的 **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security and quality** 选项卡上生成警报，其中包含有关公开凭据的详细信息。\n\n收到警报时，立即轮换受影响的凭据以防止未经授权的访问。 虽然还可以从 Git 历史记录中删除机密，但如果你已经撤销了凭据，这很耗时，而且通常不必要。\n\n### 合作伙伴整合\n\n```\n          GitHub 与各种服务提供商合作，以验证检测到的机密。 当检测到合作伙伴机密时，我们会通知服务提供商，让他们采取行动，例如撤销凭据。 合作伙伴机密将直接报告给提供程序，不会显示在存储库警报中。 有关详细信息，请参阅“[AUTOTITLE](/code-security/secret-scanning/secret-scanning-partnership-program/secret-scanning-partner-program)”。\n```\n\n## 可自定义性\n\n除了默认检测合作伙伴和提供商机密之外，还可以扩展和自定义 secret scanning 以满足你的需求。\n\n* **非供应者模式。** 将检测扩展到未绑定到特定服务提供商的机密，例如私钥、连接字符串和通用 API 密钥。\n* **自定义模式。** 定义自己的正则表达式，以检测默认模式未涵盖的组织特定机密。\n* **有效性检查。** 通过检查检测到的机密是否仍然处于活动状态来确定修正的优先级。\n\n***\n\n```\n          Copilot 机密扫描.** 使用 AI 检测非结构化机密（如密码）或为自定义模式生成正则表达式。\n```\n\n### 关于有效性检查\n\n有效性检查通过验证检测到的机密是否仍然处于活动状态，帮助确定要首先修正的机密的优先级。 启用有效性检查时，secret scanning 可以联系密钥发行服务，以确定凭据是否已吊销。\n\n有效性检查是独立于secret scanning合作伙伴计划的。 虽然合作伙伴机密会自动报告给服务提供商进行吊销，但有效性检查会验证你在自己的警报中管理的机密的状态。 有关详细信息，请参阅“[关于有效性检查](/zh/code-security/concepts/secret-security/about-validity-checks)”。\n\n## 如何访问此功能？\n\nSecret scanning 可用于以下存储库类型：\n\n* **公共存储库**：Secret scanning 自动且免费地运行。\n* ```\n            **组织拥有的私有和内部存储库**：在 GitHub Secret Protection 或 GitHub Team 上启用 [GitHub Enterprise Cloud](/get-started/learning-about-github/about-github-advanced-security) 后可用。\n  ```\n* **用户拥有的存储库**：在 GitHub Enterprise Cloud 上可用，配合 Enterprise Managed Users。 当企业启用了 [GitHub Enterprise Server](/zh/get-started/learning-about-github/about-github-advanced-security) 时，可在 GitHub Secret Protection 上使用。\n\n## 后续步骤\n\n* **如果收到警报**，请参阅 [管理机密扫描警报](/zh/code-security/secret-scanning/managing-alerts-from-secret-scanning) ，了解如何查看、解决和修正公开的机密。\n* **如果要保护组织**，请参阅 [为您的组织运行保密风险评估](/zh/code-security/how-tos/secure-at-scale/configure-organization-security/configure-specific-tools/assess-your-secret-risk) 来确定组织的机密泄露情况。\n\n## 延伸阅读\n\n* 有关支持的机密和服务提供商的完整列表，请参阅 [支持的机密扫描模式](/zh/code-security/secret-scanning/introduction/supported-secret-scanning-patterns#supported-secrets)。"}