Titkos kódok vizsgálata
A mérnöki rendszerekben közzétett hitelesítő adatok könnyen kihasználható lehetőségeket biztosítanak a támadók számára. A fenyegetés elleni védelem érdekében az Azure DevOps GitHub Advanced Security szolgáltatása hitelesítő adatokat és más bizalmas tartalmakat keres a forráskódban. A leküldéses védelem azt is megakadályozza, hogy minden hitelesítő adat kiszivárogjon.
Az adattár titkos kódvizsgálata ellenőrzi azokat a titkos kulcsokat, amelyek már léteznek a forráskódban az előzmények között, és a leküldéses védelem megakadályozza az új titkos kulcsok forráskódban való felfedését.
Az Azure DevOps GitHub Advanced Security szolgáltatása az Azure Reposszal működik. Ha GitHub Advanced Securityt szeretne használni GitHub-adattárakkal, tekintse meg a GitHub Advanced Securityt.
Tudnivalók a titkos kulcsok vizsgálatáról
Ha az Advanced Security engedélyezve van, számos szolgáltató által kiadott titkos kulcsokat keres az adattárakban, és titkos beolvasási riasztásokat hoz létre.
Ha egy erőforráshoz való hozzáféréshez párosított hitelesítő adatokra van szükség, akkor a titkos kódok vizsgálata csak akkor hozhat létre riasztást, ha a pár mindkét része ugyanabban a fájlban található. A párosítás biztosítja, hogy a legkritikusabb szivárgások ne rejtve maradnak a részleges szivárgásokkal kapcsolatos információk mögött. A páregyezés segít csökkenteni a hamis pozitív értékeket is, mivel egy pár mindkét elemét együtt kell használni a szolgáltató erőforrásának eléréséhez.
A biztonsági riasztások megtekintéséhez az Azure DevOps speciális biztonsági adattárainak>Speciális biztonsági lapja a központ. Válassza a Titkos kulcsok lapot a titkos kódok vizsgálatával kapcsolatos riasztások megtekintéséhez. Az állapot és a titkos kód típusa alapján is szűrhet. További részletekért, beleértve a szervizelési útmutatót is, navigálhat egy riasztásba. Az Advanced Security engedélyezése után elindul egy vizsgálat a kiválasztott adattárhoz, beleértve az összes előzmény véglegesítést is. Idővel a riasztások megjelennek a vizsgálat előrehaladásával.
Az ágak átnevezése nem befolyásolja az eredményeket – akár 24 órát is igénybe vehet, amíg megjelenik az új név.
A felfedett titkos kódok kijavításához érvénytelenítse a közzétett hitelesítő adatokat, és hozzon létre egy újat a helyén. Az újonnan létrehozott titkos kódot ezután biztonságosan kell tárolni úgy, hogy ne küldje vissza közvetlenül a kódba. A titkos kód például tárolható az Azure Key Vaultban. A legtöbb erőforrás elsődleges és másodlagos hitelesítő adatokból áll. Az elsődleges hitelesítő adatok másodlagos hitelesítő adatokhoz viszonyított gördítésének módszere azonos, kivéve, ha másként van feltüntetve.
Titkos kódok vizsgálatára vonatkozó riasztások kezelése
Egy adattár riasztásainak megtekintése
Az adattárak közreműködői engedélyekkel rendelkező felhasználói megtekinthetik az adattár összes riasztásának összegzését az Adattárak alatti Speciális biztonság lapon. Válassza a Titkos kulcsok lapon az összes titkos kódvizsgálati riasztás megtekintéséhez.
Ha az Advanced Security nemrég lett engedélyezve az adattárban, egy kártya jelzi, hogy az Advanced Security továbbra is vizsgálja az adattárat.
Ha a vizsgálat befejeződött, minden eredmény megjelenik. Minden észlelt egyedi hitelesítő adathoz egyetlen riasztás jön létre az adattár összes ágában és előzményében. Nincsenek ágszűrők, mivel egyetlen riasztásba vannak beállítva.
A nem szolgáltatói titkos kulcsok a titkos kódok vizsgálatának lap megbízhatósági legördülő listájában az "Egyéb" elemet választva tekinthetők meg.
Riasztás részletei
Amikor egy riasztásra navigál, megjelenik egy részletes riasztási nézet, amely további részleteket jelenít meg a keresésről, és konkrét szervizelési útmutatást ad a riasztás megoldásához.
Section | Magyarázat |
---|---|
Hely | A Helyek szakasz részletesen ismerteti azokat az elérési utakat, ahol a titkos kulcsok vizsgálata felderítette a kiszivárgott hitelesítő adatokat. A kiszivárgott hitelesítő adatokat tartalmazó előzményekben több hely vagy több véglegesítés is lehet. Ezen helyek és véglegesítések mindegyike a Helyek területen jelenik meg, közvetlen hivatkozással a kódrészletre, és véglegesíti, amelyben azonosították. |
Ajánlás | Az ajánlási szakasz szervizelési útmutatót vagy külső dokumentációs szervizelési útmutatót tartalmaz az azonosított hitelesítő adatokhoz. |
Riasztás bezárása | A titkos kódok vizsgálatára vonatkozó riasztások esetében nincs autofix viselkedés. A titkos kódok vizsgálatára vonatkozó riasztásokat manuálisan kell igazolni a riasztás részleteinek oldalán rögzített módon. Kattintson a Bezárás gombra a titkos kód visszavonásának ellenőrzéséhez. |
Súlyosság | Minden titkos kódvizsgálati riasztás kritikus fontosságúként van beállítva. A közzétett hitelesítő adatok potenciálisan lehetőséget jelenthetnek egy rosszindulatú szereplő számára. |
Részletek keresése | A hitelesítő adatok megkereséséhez használt hitelesítő adatok típusa és szabálya a riasztás részletei oldalának Részletek keresése területén található. |
Nem szolgáltatói titkos kódok esetén a Megbízhatóság: más címke is megjelenik a súlyossági jelvény által a riasztás részleteinek nézetben.
Titkos kódok vizsgálatára vonatkozó riasztások javítása
Minden titkos kód egyedi szervizelési lépésekkel rendelkezik, hogy végigvezethesse Önt egy új titkos kód visszavonásának és helyreállításának módján. A riasztás részletei megosztják az egyes riasztások konkrét lépéseit vagy dokumentációját.
A titkos kódok vizsgálatára figyelmeztető riasztás zárva marad. A titkos kódok vizsgálatára figyelmeztető riasztás kijavítása:
- Lépjen a bezárni kívánt riasztásra, és válassza ki a riasztást.
- Válassza a Riasztás bezárása legördülő menüt.
- Ha még nincs kijelölve, válassza a Rögzített lehetőséget.
- Válassza a Bezárás lehetőséget a riasztás elküldéséhez és bezárásához.
Titkos kódok vizsgálatával kapcsolatos riasztások elvetése
Ha el szeretné utasítani a riasztásokat az Advanced Securityben, a megfelelő engedélyekre van szüksége. Alapértelmezés szerint csak a projektgazdák vethetik el az Advanced Security riasztásokat. A speciális biztonsági engedélyekről további információt a Speciális biztonsági engedélyek kezelése című témakörben talál.
Riasztás elvetése:
- Lépjen a bezárni kívánt riasztásra, és válassza ki a riasztást.
- Válassza a Riasztás bezárása legördülő menüt.
- Ha még nincs kiválasztva, válassza az Elfogadott kockázat vagy a Hamis pozitív lehetőséget a lezárás okaként.
- Adjon hozzá egy nem kötelező megjegyzést a Megjegyzés szövegmezőbe.
- Válassza a Bezárás lehetőséget a riasztás elküldéséhez és bezárásához.
- A riasztás állapota Megnyitásról Zártra változik, és megjeleníti az elutasítás okát.
A korábban elvetett riasztások manuálisan újra megnyithatók.
Feltört titkos kódok védelme
Ha egy titkos kód egy adattárhoz van kötve, a titkos kód sérül. A Microsoft a következő műveleteket javasolja a titkos kódok feltörése esetén:
- Sérült Azure DevOps személyes hozzáférési jogkivonat esetén törölje a feltört jogkivonatot, hozzon létre egy új jogkivonatot, és frissítse a régi jogkivonatot használó összes szolgáltatást.
- Az összes többi titkos kulcs esetében először ellenőrizze, hogy az Azure-adattárakban lekötött titkos kulcs érvényes-e. Ha igen, hozzon létre egy új titkos kulcsot, frissítse a régi titkos kulcsot használó szolgáltatásokat, majd törölje a régi titkos kulcsot.
- azonosítja a feltört jogkivonat által a vállalat erőforrásain végrehajtott műveleteket.
A titkos kódok frissítésekor ügyeljen arra, hogy az új titkos kulcsot biztonságosan tárolja, és győződjön meg arról, hogy az mindig elérhető, és soha nem egyszerű szövegként van tárolva. Az egyik lehetőség az Azure Keyvaulton vagy más titkos kulcskezelési megoldásokon keresztül lehetséges.
Titkos leküldéses védelem
A leküldéses védelem ellenőrzi, hogy a bejövő leküldések megbízható titkos kulcsokat keresnek-e, és megakadályozzák a leküldést. Hibaüzenet jelenik meg az összes azonosított titkos kód eltávolításához vagy szükség esetén a titkos kulcsok leküldéséhez.
A leküldéses védelmi riasztások ismertetése
A leküldéses védelmi riasztások a leküldéses védelem által jelentett felhasználói riasztások. A titkos kódok leküldéses védelemként való vizsgálata jelenleg az egyes szolgáltatók által kiadott titkos kulcsok tárházait vizsgálja.
Ha egy erőforráshoz való hozzáféréshez párosított hitelesítő adatokra van szükség, akkor a titkos kódok vizsgálata csak akkor hozhat létre riasztást, ha a pár mindkét része ugyanabban a fájlban található. A párosítás biztosítja, hogy a legkritikusabb szivárgások ne rejtve maradnak a részleges szivárgásokkal kapcsolatos információk mögött. A páregyezés segít csökkenteni a hamis pozitív értékeket is, mivel egy pár mindkét elemét együtt kell használni a szolgáltató erőforrásának eléréséhez.
Előfordulhat, hogy a leküldéses védelem nem blokkolja bizonyos jogkivonatok régebbi verzióit, mivel ezek a jogkivonatok nagyobb számú hamis pozitív értéket eredményezhetnek, mint a legutóbbi verziójuk. Előfordulhat, hogy a leküldéses védelem nem blokkolja az örökölt jogkivonatokat. Az Olyan jogkivonatok esetében, mint az Azure Storage Keys, az Advanced Security csak a közelmúltban létrehozott jogkivonatokat támogatja, az örökölt mintákkal egyező jogkivonatokat nem.
Leküldéses védelem a parancssorból
A leküldéses védelem natív módon épül fel az Azure DevOps Gitbe. Ha a véglegesítések azonosított titkos kódot tartalmaznak, hibaüzenet jelenik meg, amely szerint a leküldést elutasították.
Leküldéses védelem a webes felületről
A leküldéses védelem a webes felületen is működik. Ha egy véglegesítésben titkos kód van azonosítva, a következő hibablokk jelenik meg, amely megakadályozza a módosítások leküldését:
Mi a teendő, ha le lett tiltva a leküldés?
A leküldéses védelem blokkolja az egyszerű szöveges fájlokban található titkos kódokat, amelyek általában (de nem kizárólagosan) szöveges fájlok, például forráskód- vagy JSON-konfigurációs fájlok. Ezek a titkos kódok egyszerű szövegben vannak tárolva. Ha egy rossz szereplő hozzáfér a fájlokhoz, és nyilvános adattárban teszik közzé őket, a titkos kulcsokat bárki hasznosíthatja.
Javasoljuk, hogy távolítsa el a titkos kulcsot a megjelölt fájlból, majd távolítsa el a titkos kulcsot a véglegesítési előzményekből. Ha a megjelölt titkos kód helyőrző vagy példatitkos, javasoljuk, hogy frissítse a hamis titkos kulcsot úgy, hogy a hamis titkos kód előtt elővegye a sztringet Placeholder
.
Ha a titkos kód hozzá lett adva a közvetlen előző véglegesítéshez, módosítsa a véglegesítést, és hozzon létre egy új véglegesítést:
- Távolítsa el a titkos kódot a kódból.
- A módosítások véglegesítése a következő használatával:
git commit --amend
- Küldje el újra a módosításokat.
Ha a titkos kód az előzményekben még tovább bővült, szerkessze a véglegesítéseket egy interaktív újrabázis használatával:
- Annak meghatározására használható
git log
, hogy melyik véglegesítést követte el először. - Interaktív újrabázis végrehajtása:
git rebase -i [commit ID before credential introduction]~1
- Identify your commit to edit by changing
pick
toedit
- Távolítsa el a titkos kódot a kódból.
- Véglegesítse a módosítást a következővel
git commit --amend
: . - Futtassa az újrabázist
git rebase --continue
.
Blokkolt titkos kód leküldése
A megjelölt titkos kódok megkerülése nem ajánlott, mert a megkerülés veszélyeztetheti a vállalat biztonságát. Ha megerősíti, hogy egy azonosított titkos kód nem hamis pozitív, el kell távolítania a titkos kulcsot a teljes ágelőzményből, mielőtt újra megkísérelné leküldeni a módosításokat.
Ha úgy véli, hogy a blokkolt titkos kód hamis pozitív vagy biztonságos leküldéses, megkerülheti a leküldéses védelmet. Adja meg a sztringet skip-secret-scanning:true
a véglegesítési üzenetben. Még akkor is, ha megkerüli a leküldéses védelmet, a titkos kód leküldése után a titkos kulcs leküldése után titkossági vizsgálat riasztás jön létre a riasztás UX-jában.
Titkos kódvizsgálati minták
Az Advanced Security több alapértelmezett titkos kódvizsgálati mintát tart fenn:
- Leküldéses védelmi minták – a lehetséges titkos kódok észlelésére szolgálnak leküldéses időpontban az adattárakban, és engedélyezve van a titkos kódok vizsgálata leküldéses védelem.
- Felhasználói riasztási minták – az adattárak lehetséges titkos kulcsainak észlelésére szolgál, és engedélyezve vannak a titkossági vizsgálatra vonatkozó riasztások.
- Nem szolgáltatói minták – a strukturált titkos kódok gyakori előfordulásának észlelésére szolgálnak az adattárakban, és engedélyezve vannak a titkos kódok vizsgálatára vonatkozó riasztások.
Támogatott titkos kódok
Section | Magyarázat |
---|---|
Szolgáltató | A jogkivonat-szolgáltató neve. |
Jogkivonat neve | Az Advanced Security titkos kódok vizsgálata által felderített jogkivonat típusa. |
User | Egy jogkivonat, amelyről a rendszer a leküldés után jelentést küld a felhasználóknak. Ez minden olyan adattárra vonatkozik, ahol engedélyezve van az Advanced Security |
Leküldéses védelem | Egy jogkivonat, amelyről leküldéses jelentések jelennek meg a felhasználók számára. Ez minden olyan adattárra vonatkozik, ahol engedélyezve van a titkos leküldéses védelem. |
Érvényességét | Azok a jogkivonatok, amelyeknél az Advanced Security megkísérli az érvényességi ellenőrzést. |
Partnerszolgáltatói minták
Az alábbi táblázat a titkos kulcsok vizsgálatával támogatott partnerszolgáltatói mintákat sorolja fel.
Szolgáltató | Jogkivonat neve | Leküldéses védelem | Felhasználói riasztások | Érvényesség ellenőrzése |
---|---|---|---|---|
Adafruit IO | AdafruitIOKey | |||
Adobe | AdobeDeviceToken | |||
Adobe | AdobeServiceToken | |||
Adobe | AdobeShortLivedAccessToken | |||
Akamai | Akamai hitelesítő adatok | |||
Alibaba Cloud | AlibabaCloud-hitelesítő adatok | |||
Amazon | AmazonMwsAuthToken | |||
Amazon | AmazonOAuth Hitelesítő adatok | |||
Amazon | Aws-hitelesítő adatok | |||
Amazon | Ideiglenes hitelesítő adatok aws-ben | |||
Asana | AsanaPat | |||
Atlassian | AtlassianApiToken | |||
Atlassian | AtlassianJwt | |||
Atlassian | BitbucketCloudOAuth Hitelesítő adatok | |||
Atlassian | BitbucketServerPat | |||
Kivetítő | BeamerApiKey | |||
Brevo | BrevoApiKey | |||
Brevo | BrevoSmtpKey | |||
Kanadai digitális szolgáltatás | CdsCanadaNotifyApiKey | |||
Checkout.com | CheckoutIdentifiableSecretKey | |||
Fő eszközök | ChiefToolsToken | |||
Cisco | CiscoLocalAccount Hitelesítő adatok | |||
Clojars | ClojarsDeployToken | |||
Cloudant | CloudantCredentials | |||
Cloudflare | CloudflareApiToken | |||
Contentful | ContentfulPersonalAccessToken | |||
Crates.io | CratesApiKey | |||
DevCycle | DevCycleClientApiKey | |||
DevCycle | DevCycleManagementApiToken | |||
DevCycle | DevCycleMobileApiKey | |||
DevCycle | DevCycleServerApiKey | |||
DigitalOcean | DigitalOceanOAuthToken | |||
DigitalOcean | DigitalOceanPat | |||
DigitalOcean | DigitalOceanRefreshToken | |||
DigitalOcean | DigitalOceanSystemToken | |||
Széthúzás | DiscordApi Hitelesítő adatok | |||
Széthúzás | DiscordApiToken | |||
Doppler | DopplerAuditToken | |||
Doppler | DopplerCliToken | |||
Doppler | DopplerPersonalToken | |||
Doppler | DopplerScimToken | |||
Doppler | DopplerServiceToken | |||
Dropbox | DropboxAccessToken | |||
Dropbox | DropboxApp-hitelesítő adatok | |||
Dropbox | DropboxOAuth2ShortLivedAccessToken | |||
Düftin | DuffelAccessToken | |||
Dynatrace | DynatraceInternalToken | |||
EasyPost | EasyPostApiKey | |||
Ebay | EBayProductionClient hitelesítő adatok | |||
Ebay | EBaySandboxClient hitelesítő adatok | |||
Rugalmas | ElasticCloudApiKey | |||
Rugalmas | ElasticStackApiKey | |||
EventBrite | PicaticApiKey | |||
FacebookAccessToken | ||||
FacebookApp Hitelesítő adatok | ||||
OculusAccessToken | ||||
Gyors | FastlyApiToken | |||
Figma | FigmaPat | |||
Finicity | FinicityAppKey | |||
Flutterwave | FlutterwaveLiveApiSecretKey | |||
Flutterwave | FlutterwaveTestApiSecretKey | |||
Frame.io | FrameIODeveloperToken | |||
Frame.io | FrameIOJwt | |||
FullStory | FullStoryApiKey | |||
GitHub | GitHubAppCredentials | |||
GitHub | GitHubAppToken | |||
GitHub | GitHubClassicPat | |||
GitHub | GitHubOAuthAccessToken | |||
GitHub | GitHubPat | |||
GitHub | GitHubRefreshToken | |||
GitHub | GitHubServerToServerToken | |||
GitHub | GitHubUserToServerToken | |||
GitLab | GitLabAccessToken | |||
GoCardless | GoCardlessLiveAccessToken | |||
GoCardless | GoCardlessSandboxAccessToken | |||
FirebaseCloudMessagingServerKey | ||||
GoogleApiKey | ||||
GoogleCloudPrivateKeyId | ||||
GoogleCloudStorageServiceAccountAccessKey | ||||
GoogleCloudStorageUserAccessKey | ||||
GoogleOAuthAccessToken | ||||
GoogleOAuth Hitelesítő adatok | ||||
GoogleOAuthRefreshToken | ||||
GoogleServiceAccountKey | ||||
Grafana | GrafanaApiKey | |||
Grafana | GrafanaCloudApiToken | |||
Grafana | GrafanaProjectApiKey | |||
Grafana | GrafanaProjectServiceAccountToken | |||
Hashicorp | HashiCorpVaultBatchLegacyToken | |||
Hashicorp | HashiCorpVaultBatchToken | |||
Hashicorp | HashiCorpVaultRootServiceToken | |||
Hashicorp | HashiCorpVaultServiceLegacyToken | |||
Hashicorp | HashiCorpVaultServiceToken | |||
Hashicorp | TerraformCloudEnterpriseToken | |||
HighNote | HighnoteRkKey | |||
HighNote | HighnoteSkKey | |||
HubSpot | HubspotApiKey | |||
HubSpot | HubSpotApiPersonalAccessKey | |||
HuggingFace | HuggingFaceAccessToken | |||
Intercom | IntercomAccessToken | |||
Ionic | IonicPat | |||
Ionic | IonicRefreshToken | |||
JD Cloud | JdCloudAccessKey | |||
JFrog | JFrogPlatformAccessToken | |||
JFrog | JFrogPlatformApiKey | |||
Lineáris | LinearApiKey | |||
Lineáris | LinearOAuthAccessToken | |||
Lob | LobLiveApiKey | |||
Lob | LobTestApiKey | |||
LocalStack | LocalStackApiKey | |||
LogicMonitor | LogicMonitorBearerToken | |||
LogicMonitor | LogicMonitorLmv1AccessKey | |||
MailChimp | MailChimpApiKey | |||
Mailgun | MailgunApi Hitelesítő adatok | |||
Mapbox | MapboxSecretAccessToken | |||
MessageBird | MessageBirdApiKey | |||
Microsoft | AadClientAppIdentifiableCredentials | |||
Microsoft | AdoPat | |||
Microsoft | AzureApimDirectManagementSas | |||
Microsoft | AzureApimGatewaySas | |||
Microsoft | AzureApimIdentifiableDirectManagementKey | |||
Microsoft | AzureApimIdentifiableGatewayKey | |||
Microsoft | AzureApimIdentifiableRepositoryKey | |||
Microsoft | AzureApimIdentifiableSubscriptionKey | |||
Microsoft | AzureApimLegacyDirectManagementKey | |||
Microsoft | AzureApimLegacyGatewayKey | |||
Microsoft | AzureApimLegacyRepositoryKey | |||
Microsoft | AzureApimLegacySubscriptionKey | |||
Microsoft | AzureApimRepositorySas | |||
Microsoft | AzureAppConfiguration Hitelesítő adatok | |||
Microsoft | AzureApplicationInsights Hitelesítő adatok | |||
Microsoft | AzureBatchIdentifiableKey | |||
Microsoft | AzureBatchLegacyKey | |||
Microsoft | AzureBlockchain-hitelesítő adatok | |||
Microsoft | AzureCacheForRedisIdentifiableKey | |||
Microsoft | AzureCacheForRedisIdentifiablePrivateServiceKey | |||
Microsoft | AzureCacheForRedisLegacyKey | |||
Microsoft | AzureCdnSas | |||
Microsoft | AzureCognitiveServicesKey | |||
Microsoft | AzureCognitiveServicesTranslatorKey | |||
Microsoft | AzureCommunicationServicesKey | |||
Microsoft | AzureContainerRegistryIdentifiableKey | |||
Microsoft | AzureContainerRegistryLegacyKey | |||
Microsoft | AzureCosmosDBIdentifiableKey | |||
Microsoft | AzureCosmosDBIdentifiablePrivateServiceKey | |||
Microsoft | AzureCosmosDBLegacyKey | |||
Microsoft | AzureDatabricksPat | |||
Microsoft | AzureDevOpsOAuthToken | |||
Microsoft | AzureEventGridKey | |||
Microsoft | AzureEventHubIdentifiableKey | |||
Microsoft | AzureEventHubIdentifiablePrivateServiceSystemKey | |||
Microsoft | AzureFluidRelayKey | |||
Microsoft | AzureFunctionIdentifiableKey | |||
Microsoft | AzureFunctionLegacyKey | |||
Microsoft | AzureGenomicsKey | |||
Microsoft | AzureHDInsight-hitelesítő adatok | |||
Microsoft | AzureIotDeviceIdentifiableKey | |||
Microsoft | AzureIotDeviceLegacyCredentials | |||
Microsoft | AzureIotDeviceProvisioningIdentifiableKey | |||
Microsoft | AzureIotDeviceProvisioningLegacyCredentials | |||
Microsoft | AzureIotHubIdentifiableKey | |||
Microsoft | AzureIotHubLegacy Hitelesítő adatok | |||
Microsoft | AzureLogicAppSas | |||
Microsoft | AzureManagementCertificate | |||
Microsoft | AzureMapsKey | |||
Microsoft | AzureMixedRealityCredentials | |||
Microsoft | AzureMLIdentifiablePrivateServicePrincipalCredentials | |||
Microsoft | AzureMLWebServiceClassicIdentifiableKey | |||
Microsoft | AzureMLWebServiceKey | |||
Microsoft | AzureOpenAIKey | |||
Microsoft | AzureRelayIdentifiableKey | |||
Microsoft | AzureSearchIdentifiableAdminKey | |||
Microsoft | AzureSearchIdentifiablePrivateServiceAdminKey | |||
Microsoft | AzureSearchIdentifiableQueryKey | |||
Microsoft | AzureSearchLegacyKey | |||
Microsoft | AzureServiceBusIdentifiableKey | |||
Microsoft | AzureServiceBusIdentifiablePrivateServiceSystemKey | |||
Microsoft | AzureServiceBusLegacy hitelesítő adatok | |||
Microsoft | AzureServiceDeployment hitelesítő adatok | |||
Microsoft | AzureSignalRKey | |||
Microsoft | AzureStorageAccountIdentifiableKey | |||
Microsoft | AzureStorageAccountLegacyCredentials | |||
Microsoft | AzureStorageIdentifiablePrivateServiceKey | |||
Microsoft | AzureStorageLooseSas | |||
Microsoft | AzureStorageSas | |||
Microsoft | AzureWebAppBot hitelesítő adatok | |||
Microsoft | AzureWebAppBotKey | |||
Microsoft | AzureWebPubSub Hitelesítő adatok | |||
Microsoft | BingApiKey | |||
Microsoft | BingMapsKey | |||
Microsoft | BingSearchKey | |||
Microsoft | OfficeIncomingWebhook | |||
Microsoft | Sas | |||
Microsoft | SqlIdentifiableCredentials | |||
Microsoft | VisualStudioAppCenterKey | |||
Középközép | MidtransServerKey | |||
New Relic | NewRelicInsightsQueryKey | |||
New Relic | NewRelicLicenseKey | |||
New Relic | NewRelicPersonalApiKey | |||
New Relic | NewRelicRestApiKey | |||
Notion | NotionIntegrationToken | |||
Notion | NotionOAuthClient hitelesítő adatok | |||
npm | NpmAuthorIdentifiableToken | |||
npm | Npm-hitelesítő adatok | |||
npm | NpmLegacyAuthorToken | |||
NuGet | NuGetApiKey | |||
NuGet | NuGet-hitelesítő adatok | |||
Octopus Deploy | OctopusDeployApiKey | |||
Onfido | OnfidoApiToken | |||
OpenAI | OpenAIApiKeyV2 | |||
Palantir | PalantirJwt | |||
PayPal | PayPalBraintreeAccessToken | |||
Persona | PersonaProductionApiKey | |||
Persona | PersonaSandboxApiKey | |||
Pinecone | PineconeApiKey | |||
PlanetScale | PlanetScaleDatabasePassword | |||
PlanetScale | PlanetScaleOAuthToken | |||
PlanetScale | PlanetScaleServiceToken | |||
Plivo | Plivo-hitelesítő adatok | |||
Postman | PostmanApiKey | |||
Prefektus | PrefectServerApiToken | |||
Prefektus | PrefectUserApiToken | |||
Proctorio | ProctorioConsumerKey | |||
Proctorio | ProctorioLinkageKey | |||
Proctorio | ProctorioRegistrationKey | |||
Proctorio | ProctorioSecretKeyV2 | |||
Pulumi | PulumiAccessToken | |||
PyPi | PyPiApiToken | |||
Readme | ReadMeApiKey | |||
redirect.pizza | RedirectPizzaApiToken | |||
Rubygems | RubyGemsApiKey | |||
MINTA | SecretScanningSampleToken | |||
Samsara | SamsaraApiAccessToken | |||
Samsara | SamsaraOAuth2AccessToken | |||
Segment.io | SegmentPublicApiToken | |||
SendGrid | SendGridApiKey | |||
Shippo | ShippoLiveApiToken | |||
Shippo | ShippoTestApiToken | |||
Shopify | ShopifyAccessToken | |||
Shopify | ShopifyAppClient hitelesítő adatok | |||
Shopify | ShopifyAppClientSecret | |||
Shopify | ShopifyAppOAuthAccessToken | |||
Shopify | ShopifyCustomAppAccessToken | |||
Shopify | ShopifyMarketplaceToken | |||
Shopify | ShopifyMerchantToken | |||
Shopify | ShopifyPartnerApiToken | |||
Shopify | ShopifyPrivateAppPassword | |||
Shopify | ShopifySharedSecret | |||
Slack | SlackApiKey | |||
Slack | SlackAppLevelToken | |||
Slack | SlackWebhook | |||
Slack | SlackWorkflowKey | |||
Splunk | SplunkHecApiKey | |||
Splunk | SplunkJwtToken | |||
Splunk | SplunkSessionKey | |||
Square | SquareApplicationSecret | |||
Square | Négyzetes hitelesítő adatok | |||
Square | SquarePat | |||
SSLMate | SSLMateApiKey | |||
SSLMAte | SSLMateClusterSecret | |||
Stripe | StripeLiveApiKey | |||
Stripe | StripeLiveRestrictedApiKey | |||
Stripe | StripeTestApiKey | |||
Stripe | StripeTestRestrictedApiKey | |||
Stripe | StripeWebhookSigningSecret | |||
Supabase | SupabaseServiceKey | |||
Tableau | TableauPersonalAccessToken | |||
Telegram | TelegramBotToken | |||
Telnyx | TelnyxApiV2Key | |||
Tencent Cloud | TencentCloud-hitelesítő adatok | |||
Tencent Cloud | TencentCloudSecretId | |||
Twilio | TwilioApiKey hitelesítő adatok | |||
Twilio | Twilio-hitelesítő adatok | |||
Typeform | TypeformPat | |||
Uniwise | WISEFlowApiKey | |||
WakaTime | WakaTimeApp Hitelesítő adatok | |||
WakaTime | WakaTimeOAuthAccessToken | |||
WakaTime | WakaTimeOAuthRefreshToken | |||
WorkOS | WorkOSProductionApiKey | |||
WorkOS | WorkOSStagingApiKey | |||
Yandex | YandexCloudApiKey | |||
Yandex | YandexCloudIamAccessSecret | |||
Yandex | YandexCloudIamCookie | |||
Yandex | YandexCloudIamToken | |||
Yandex | YandexDictionaryApiKey | |||
Yandex | YandexPassportOAuthToken | |||
Yandex | YandexPredictorApiKey | |||
Yandex | YandexTranslateApiKey | |||
Zuplo | ZuploConsumerApiKey |
Nem szolgáltatói minták
Az alábbi táblázat a titkos kulcsok vizsgálata által észlelt, nem szolgáltató által létrehozott titkos kulcsokat sorolja fel. A nem szolgáltatói titkos kulcsok a titkos kódok vizsgálatának lap megbízhatósági legördülő listájában az "Egyéb" elemet választva tekinthetők meg. További információ: Titkos kódvizsgálati riasztások kezelése.
Tipp.
A nem szolgáltatói minták észlelése jelenleg bétaverzióban történik, és változhat.
Szolgáltató | Támogatott titkos kód | Jogkivonat neve |
---|---|---|
Általános | ASP.NET gépkulcs | AspNetMachineKey |
Általános | DER-végkódolt titkos kulcs | DerPrivateKey |
Általános | Dynatrace Token | DynatraceToken |
Általános | GPG hitelesítő adatai | Gpg-hitelesítő adatok |
Általános | HTTP-kérelemfejlécek | HttpAuthorizationRequestHeader |
Általános | JavaScript webes jogkivonat | GenericJwt |
Általános | LinkedIn hitelesítő adatok | LinkedIn-hitelesítő adatok |
Általános | MongoDB kapcsolati sztring | MongoDb-hitelesítő adatok |
Általános | MySQL/MariaDB kapcsolati sztring | MySql-hitelesítő adatok |
Általános | PEM-kódolású titkos kulcs | PemPrivateKey |
Általános | PGP titkos kulcs | PgpPrivateKey |
Általános | PKCS12 formázott titkos kulcs | Pkcs12PrivateKey |
Általános | PostgreSQL kapcsolati sztring | PostgreSql-hitelesítő adatok |
Általános | Putty titkos kulcs | PuttyPrivateKey |
Általános | RabbitMQ hitelesítő adatai | RabbitMq Hitelesítő adatok |
Általános | RSA titkos kulcs | RsaPrivateKey |
Általános | SQL Server kapcsolati sztring | SqlLegacy-hitelesítő adatok |
Általános | SSH PrivateKey | OpenSshPrivateKey |
Általános | SSH PrivateKey | GitHubSshPrivateKey |
Általános | URL-kódolt hitelesítő adatok | URL-hitelesítő adatok |
Titkos kódok vizsgálatának hibaelhárítása
A titkos kódtár vizsgálata nem fejeződött be
Ha úgy tűnik, hogy az adattárszintű titkos kulcsok vizsgálata az Advanced Security első engedélyezésekor egy idő után elakadt, próbálja meg letiltani, majd engedélyezze újra az Advanced Securityt a beolvasási művelet alaphelyzetbe állításához.
A leküldéses védelem nem blokkolja a titkos kódot
Győződjön meg arról, hogy a letiltani kívánt titkos kód támogatott a leküldéses védelemhez a fenti táblák, a támogatott titkos kódok használatával.
Nem hoztak létre adattárriasztásokat jelszóhoz
Győződjön meg arról, hogy a letiltani kívánt titkos kód támogatott felhasználói riasztásként a fenti táblák, a támogatott titkos kódok használatával. Ha egy általánosan elnevezett titkos kulcsot próbál leküldésesen leküldni, például password: password123
secret: password123
a titkos kódok beolvasása nem támogatja ezt a forgatókönyvet, és nem jön létre riasztás, és a leküldéses védelem sem érvényes.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: