为了帮助您了解泄露秘密的所有权和影响, GitHub秘密扫描界面丰富了支持的秘密类型的元数据。扩展元数据检查现已普遍可用,包括支持具有补充元数据的多部分验证器。
这些更新扩展了现有的有效性检查,为分类和补救提供更多可操作的上下文,使开发和安全团队能够更快地评估曝光并确定补救的优先级。密钥扫描已对大多数密钥提供程序执行有效性检查,验证检测到的密钥是否处于活动状态。
您现在可以扩展这些检查,以包括来自受支持提供程序的其他元数据,包括有关密钥所有者、密钥创建和到期日期以及项目或组织上下文的详细信息。元数据显示在列表和详细信息视图中,包括警报列表过滤器、安全活动创建、Webhook事件和REST API。
GitHub尽最大努力显示机密元数据可用性的元数据,这些元数据可能因机密提供程序、令牌类型而异,甚至可能在不同时间点显示特定机密的元数据。此外,一些秘密类型需要比秘密文字本身更多的东西来确定其有效性。在可能的情况下, GitHub将利用补充元数据来确定密钥是否仍处于活动状态。
多部分有效性检查现在涵盖主要提供商的关键凭证格式。覆盖范围包括阿里云、Databricks令牌和工作区URL组合、多个Microsoft Azure密钥和主机或端点对等。GitHub将持续添加对其他密钥类型的支持。了解有关使用秘密扫描保护存储库的更多信息,并在我们的文档中查看支持的秘密的完整列表。