企业的秘密扫描公共监控

GitHub致力于通过帮助组织识别和解决在任何地方发生的秘密泄露的风险来增强开发者社区的能力。我们相信每个企业都应该知道这一刻…… POST Secret扫描企业的公共监控首次出现在GitHub B上……

GitHub致力于通过帮助组织识别和解决在任何地方发生的秘密泄露的风险来增强开发者社区的能力。我们相信,每家企业都应该在其秘密公开泄露的那一刻就知道,无论它发生在GitHub的哪个地方。这就是为什么使用GitHub Secret Protection的企业现在可以公开预览公共监控,无需额外费用。

秘密不尊重边界;扫描它们也不应该。GitHub实时监控github.com的整个公共表面,以查找泄露的秘密。公共监控根据您的人员承诺的位置,将这些机密归还给您的企业。秘密扫描始终保护您拥有的存储库。但秘密泄露到了那个界限之外。

例如,开发人员提交个人分叉或开源项目,或者将令牌粘贴到公共问题或拉取请求中,这通常发生在安全团队未跟踪的帐户中。像这样的曝光几乎是不可能找到的,而且往往是在被不良行为者虐待后才浮出水面。公众监督弥补了这一差距。

它会发现这些漏洞并将其归因于您的企业,以便您可以快速响应。该功能会扫描github.com上公开内容中暴露的任何地方的秘密(包括git内容、拉取请求注释和GitHub问题),并通过GitHub的身份层和已验证的域将每个秘密原生归因于您的企业。

因为活动发生在GitHub上,所以归因也是如此:实时(而不是夜间异步爬网),明确使用本机平台元数据(而不是来自提交电子邮件的猜测),以及跨任意公共存储库(不仅仅是您告诉我们查看的表面)。