Titkos kódok vizsgálata

A mérnöki rendszerekben közzétett hitelesítő adatok könnyen kihasználható lehetőségeket biztosítanak a támadók számára. A fenyegetés elleni védelem érdekében az Azure DevOps GitHub Advanced Security szolgáltatása hitelesítő adatokat és más bizalmas tartalmakat keres a forráskódban. A leküldéses védelem azt is megakadályozza, hogy minden hitelesítő adat kiszivárogjon.

Az adattár titkos kódvizsgálata ellenőrzi azokat a titkos kulcsokat, amelyek már léteznek a forráskódban az előzmények között, és a leküldéses védelem megakadályozza az új titkos kulcsok forráskódban való felfedését.

Az Azure DevOps GitHub Advanced Security szolgáltatása az Azure Reposszal működik. Ha GitHub Advanced Securityt szeretne használni GitHub-adattárakkal, tekintse meg a GitHub Advanced Securityt.

Tudnivalók a titkos kulcsok vizsgálatáról

Ha az Advanced Security engedélyezve van, számos szolgáltató által kiadott titkos kulcsokat keres az adattárakban, és titkos beolvasási riasztásokat hoz létre.

Ha egy erőforráshoz való hozzáféréshez párosított hitelesítő adatokra van szükség, akkor a titkos kódok vizsgálata csak akkor hozhat létre riasztást, ha a pár mindkét része ugyanabban a fájlban található. A párosítás biztosítja, hogy a legkritikusabb szivárgások ne rejtve maradnak a részleges szivárgásokkal kapcsolatos információk mögött. A páregyezés segít csökkenteni a hamis pozitív értékeket is, mivel egy pár mindkét elemét együtt kell használni a szolgáltató erőforrásának eléréséhez.

A biztonsági riasztások megtekintéséhez az Azure DevOps speciális biztonsági adattárainak>Speciális biztonsági lapja a központ. Válassza a Titkos kulcsok lapot a titkos kódok vizsgálatával kapcsolatos riasztások megtekintéséhez. Az állapot és a titkos kód típusa alapján is szűrhet. További részletekért, beleértve a szervizelési útmutatót is, navigálhat egy riasztásba. Az Advanced Security engedélyezése után elindul egy vizsgálat a kiválasztott adattárhoz, beleértve az összes előzmény véglegesítést is. Idővel a riasztások megjelennek a vizsgálat előrehaladásával.

Az ágak átnevezése nem befolyásolja az eredményeket – akár 24 órát is igénybe vehet, amíg megjelenik az új név.

A felfedett titkos kódok kijavításához érvénytelenítse a közzétett hitelesítő adatokat, és hozzon létre egy újat a helyén. Az újonnan létrehozott titkos kódot ezután biztonságosan kell tárolni úgy, hogy ne küldje vissza közvetlenül a kódba. A titkos kód például tárolható az Azure Key Vaultban. A legtöbb erőforrás elsődleges és másodlagos hitelesítő adatokból áll. Az elsődleges hitelesítő adatok másodlagos hitelesítő adatokhoz viszonyított gördítésének módszere azonos, kivéve, ha másként van feltüntetve.

Titkos kódok vizsgálatára vonatkozó riasztások kezelése

Egy adattár riasztásainak megtekintése

Az adattárak közreműködői engedélyekkel rendelkező felhasználói megtekinthetik az adattár összes riasztásának összegzését az Adattárak alatti Speciális biztonság lapon. Válassza a Titkos kulcsok lapon az összes titkos kódvizsgálati riasztás megtekintéséhez.

Ha az Advanced Security nemrég lett engedélyezve az adattárban, egy kártya jelzi, hogy az Advanced Security továbbra is vizsgálja az adattárat.

Ha a vizsgálat befejeződött, minden eredmény megjelenik. Minden észlelt egyedi hitelesítő adathoz egyetlen riasztás jön létre az adattár összes ágában és előzményében. Nincsenek ágszűrők, mivel egyetlen riasztásba vannak beállítva.

A nem szolgáltatói titkos kulcsok a titkos kódok vizsgálatának lap megbízhatósági legördülő listájában az "Egyéb" elemet választva tekinthetők meg.

Riasztás részletei

Amikor egy riasztásra navigál, megjelenik egy részletes riasztási nézet, amely további részleteket jelenít meg a keresésről, és konkrét szervizelési útmutatást ad a riasztás megoldásához.

Section	Magyarázat
Hely	A Helyek szakasz részletesen ismerteti azokat az elérési utakat, ahol a titkos kulcsok vizsgálata felderítette a kiszivárgott hitelesítő adatokat. A kiszivárgott hitelesítő adatokat tartalmazó előzményekben több hely vagy több véglegesítés is lehet. Ezen helyek és véglegesítések mindegyike a Helyek területen jelenik meg, közvetlen hivatkozással a kódrészletre, és véglegesíti, amelyben azonosították.
Ajánlás	Az ajánlási szakasz szervizelési útmutatót vagy külső dokumentációs szervizelési útmutatót tartalmaz az azonosított hitelesítő adatokhoz.
Riasztás bezárása	A titkos kódok vizsgálatára vonatkozó riasztások esetében nincs autofix viselkedés. A titkos kódok vizsgálatára vonatkozó riasztásokat manuálisan kell igazolni a riasztás részleteinek oldalán rögzített módon. Kattintson a Bezárás gombra a titkos kód visszavonásának ellenőrzéséhez.
Súlyosság	Minden titkos kódvizsgálati riasztás kritikus fontosságúként van beállítva. A közzétett hitelesítő adatok potenciálisan lehetőséget jelenthetnek egy rosszindulatú szereplő számára.
Részletek keresése	A hitelesítő adatok megkereséséhez használt hitelesítő adatok típusa és szabálya a riasztás részletei oldalának Részletek keresése területén található.

Nem szolgáltatói titkos kódok esetén a Megbízhatóság: más címke is megjelenik a súlyossági jelvény által a riasztás részleteinek nézetben.

Titkos kódok vizsgálatára vonatkozó riasztások javítása

Minden titkos kód egyedi szervizelési lépésekkel rendelkezik, hogy végigvezethesse Önt egy új titkos kód visszavonásának és helyreállításának módján. A riasztás részletei megosztják az egyes riasztások konkrét lépéseit vagy dokumentációját.

A titkos kódok vizsgálatára figyelmeztető riasztás zárva marad. A titkos kódok vizsgálatára figyelmeztető riasztás kijavítása:

1. Lépjen a bezárni kívánt riasztásra, és válassza ki a riasztást.
2. Válassza a Riasztás bezárása legördülő menüt.
3. Ha még nincs kijelölve, válassza a Rögzített lehetőséget.
4. Válassza a Bezárás lehetőséget a riasztás elküldéséhez és bezárásához.

Titkos kódok vizsgálatával kapcsolatos riasztások elvetése

Ha el szeretné utasítani a riasztásokat az Advanced Securityben, a megfelelő engedélyekre van szüksége. Alapértelmezés szerint csak a projektgazdák vethetik el az Advanced Security riasztásokat. A speciális biztonsági engedélyekről további információt a Speciális biztonsági engedélyek kezelése című témakörben talál.

Riasztás elvetése:

1. Lépjen a bezárni kívánt riasztásra, és válassza ki a riasztást.
2. Válassza a Riasztás bezárása legördülő menüt.
3. Ha még nincs kiválasztva, válassza az Elfogadott kockázat vagy a Hamis pozitív lehetőséget a lezárás okaként.
4. Adjon hozzá egy nem kötelező megjegyzést a Megjegyzés szövegmezőbe.
5. Válassza a Bezárás lehetőséget a riasztás elküldéséhez és bezárásához.
6. A riasztás állapota Megnyitásról Zártra változik, és megjeleníti az elutasítás okát.

A korábban elvetett riasztások manuálisan újra megnyithatók.

Feltört titkos kódok védelme

Ha egy titkos kód egy adattárhoz van kötve, a titkos kód sérül. A Microsoft a következő műveleteket javasolja a titkos kódok feltörése esetén:

• Sérült Azure DevOps személyes hozzáférési jogkivonat esetén törölje a feltört jogkivonatot, hozzon létre egy új jogkivonatot, és frissítse a régi jogkivonatot használó összes szolgáltatást.
• Az összes többi titkos kulcs esetében először ellenőrizze, hogy az Azure-adattárakban lekötött titkos kulcs érvényes-e. Ha igen, hozzon létre egy új titkos kulcsot, frissítse a régi titkos kulcsot használó szolgáltatásokat, majd törölje a régi titkos kulcsot.
• azonosítja a feltört jogkivonat által a vállalat erőforrásain végrehajtott műveleteket.

A titkos kódok frissítésekor ügyeljen arra, hogy az új titkos kulcsot biztonságosan tárolja, és győződjön meg arról, hogy az mindig elérhető, és soha nem egyszerű szövegként van tárolva. Az egyik lehetőség az Azure Keyvaulton vagy más titkos kulcskezelési megoldásokon keresztül lehetséges.

Titkos leküldéses védelem

A leküldéses védelem ellenőrzi, hogy a bejövő leküldések megbízható titkos kulcsokat keresnek-e, és megakadályozzák a leküldést. Hibaüzenet jelenik meg az összes azonosított titkos kód eltávolításához vagy szükség esetén a titkos kulcsok leküldéséhez.

A leküldéses védelmi riasztások ismertetése

A leküldéses védelmi riasztások a leküldéses védelem által jelentett felhasználói riasztások. A titkos kódok leküldéses védelemként való vizsgálata jelenleg az egyes szolgáltatók által kiadott titkos kulcsok tárházait vizsgálja.

Ha egy erőforráshoz való hozzáféréshez párosított hitelesítő adatokra van szükség, akkor a titkos kódok vizsgálata csak akkor hozhat létre riasztást, ha a pár mindkét része ugyanabban a fájlban található. A párosítás biztosítja, hogy a legkritikusabb szivárgások ne rejtve maradnak a részleges szivárgásokkal kapcsolatos információk mögött. A páregyezés segít csökkenteni a hamis pozitív értékeket is, mivel egy pár mindkét elemét együtt kell használni a szolgáltató erőforrásának eléréséhez.

Előfordulhat, hogy a leküldéses védelem nem blokkolja bizonyos jogkivonatok régebbi verzióit, mivel ezek a jogkivonatok nagyobb számú hamis pozitív értéket eredményezhetnek, mint a legutóbbi verziójuk. Előfordulhat, hogy a leküldéses védelem nem blokkolja az örökölt jogkivonatokat. Az Olyan jogkivonatok esetében, mint az Azure Storage Keys, az Advanced Security csak a közelmúltban létrehozott jogkivonatokat támogatja, az örökölt mintákkal egyező jogkivonatokat nem.

Leküldéses védelem a parancssorból

A leküldéses védelem natív módon épül fel az Azure DevOps Gitbe. Ha a véglegesítések azonosított titkos kódot tartalmaznak, hibaüzenet jelenik meg, amely szerint a leküldést elutasították.

Leküldéses védelem a webes felületről

A leküldéses védelem a webes felületen is működik. Ha egy véglegesítésben titkos kód van azonosítva, a következő hibablokk jelenik meg, amely megakadályozza a módosítások leküldését:

Mi a teendő, ha le lett tiltva a leküldés?

A leküldéses védelem blokkolja az egyszerű szöveges fájlokban található titkos kódokat, amelyek általában (de nem kizárólagosan) szöveges fájlok, például forráskód- vagy JSON-konfigurációs fájlok. Ezek a titkos kódok egyszerű szövegben vannak tárolva. Ha egy rossz szereplő hozzáfér a fájlokhoz, és nyilvános adattárban teszik közzé őket, a titkos kulcsokat bárki hasznosíthatja.

Javasoljuk, hogy távolítsa el a titkos kulcsot a megjelölt fájlból, majd távolítsa el a titkos kulcsot a véglegesítési előzményekből. Ha a megjelölt titkos kód helyőrző vagy példatitkos, javasoljuk, hogy frissítse a hamis titkos kulcsot úgy, hogy a hamis titkos kód előtt elővegye a sztringet Placeholder .

Ha a titkos kód hozzá lett adva a közvetlen előző véglegesítéshez, módosítsa a véglegesítést, és hozzon létre egy új véglegesítést:

1. Távolítsa el a titkos kódot a kódból.
2. A módosítások véglegesítése a következő használatával: git commit --amend
3. Küldje el újra a módosításokat.

Ha a titkos kód az előzményekben még tovább bővült, szerkessze a véglegesítéseket egy interaktív újrabázis használatával:

1. Annak meghatározására használható git log , hogy melyik véglegesítést követte el először.
2. Interaktív újrabázis végrehajtása: git rebase -i [commit ID before credential introduction]~1
3. Identify your commit to edit by changing pick to edit
4. Távolítsa el a titkos kódot a kódból.
5. Véglegesítse a módosítást a következővel git commit --amend: .
6. Futtassa az újrabázist git rebase --continue.

Blokkolt titkos kód leküldése

A megjelölt titkos kódok megkerülése nem ajánlott, mert a megkerülés veszélyeztetheti a vállalat biztonságát. Ha megerősíti, hogy egy azonosított titkos kód nem hamis pozitív, el kell távolítania a titkos kulcsot a teljes ágelőzményből, mielőtt újra megkísérelné leküldeni a módosításokat.

Ha úgy véli, hogy a blokkolt titkos kód hamis pozitív vagy biztonságos leküldéses, megkerülheti a leküldéses védelmet. Adja meg a sztringet skip-secret-scanning:true a véglegesítési üzenetben. Még akkor is, ha megkerüli a leküldéses védelmet, a titkos kód leküldése után a titkos kulcs leküldése után titkossági vizsgálat riasztás jön létre a riasztás UX-jában.

Titkos kódvizsgálati minták

Az Advanced Security több alapértelmezett titkos kódvizsgálati mintát tart fenn:

1. Leküldéses védelmi minták – a lehetséges titkos kódok észlelésére szolgálnak leküldéses időpontban az adattárakban, és engedélyezve van a titkos kódok vizsgálata leküldéses védelem.
2. Felhasználói riasztási minták – az adattárak lehetséges titkos kulcsainak észlelésére szolgál, és engedélyezve vannak a titkossági vizsgálatra vonatkozó riasztások.
3. Nem szolgáltatói minták – a strukturált titkos kódok gyakori előfordulásának észlelésére szolgálnak az adattárakban, és engedélyezve vannak a titkos kódok vizsgálatára vonatkozó riasztások.

Támogatott titkos kódok

Section	Magyarázat
Szolgáltató	A jogkivonat-szolgáltató neve.
Jogkivonat neve	Az Advanced Security titkos kódok vizsgálata által felderített jogkivonat típusa.
User	Egy jogkivonat, amelyről a rendszer a leküldés után jelentést küld a felhasználóknak. Ez minden olyan adattárra vonatkozik, ahol engedélyezve van az Advanced Security
Leküldéses védelem	Egy jogkivonat, amelyről leküldéses jelentések jelennek meg a felhasználók számára. Ez minden olyan adattárra vonatkozik, ahol engedélyezve van a titkos leküldéses védelem.
Érvényességét	Azok a jogkivonatok, amelyeknél az Advanced Security megkísérli az érvényességi ellenőrzést.

Partnerszolgáltatói minták

Az alábbi táblázat a titkos kulcsok vizsgálatával támogatott partnerszolgáltatói mintákat sorolja fel.

Szolgáltató	Jogkivonat neve	Leküldéses védelem	Felhasználói riasztások	Érvényesség ellenőrzése
Adafruit IO	AdafruitIOKey
Adobe	AdobeDeviceToken
Adobe	AdobeServiceToken
Adobe	AdobeShortLivedAccessToken
Akamai	Akamai hitelesítő adatok
Alibaba Cloud	AlibabaCloud-hitelesítő adatok
Amazon	AmazonMwsAuthToken
Amazon	AmazonOAuth Hitelesítő adatok
Amazon	Aws-hitelesítő adatok
Amazon	Ideiglenes hitelesítő adatok aws-ben
Asana	AsanaPat
Atlassian	AtlassianApiToken
Atlassian	AtlassianJwt
Atlassian	BitbucketCloudOAuth Hitelesítő adatok
Atlassian	BitbucketServerPat
Kivetítő	BeamerApiKey
Brevo	BrevoApiKey
Brevo	BrevoSmtpKey
Kanadai digitális szolgáltatás	CdsCanadaNotifyApiKey
Checkout.com	CheckoutIdentifiableSecretKey
Fő eszközök	ChiefToolsToken
Cisco	CiscoLocalAccount Hitelesítő adatok
Clojars	ClojarsDeployToken
Cloudant	CloudantCredentials
Cloudflare	CloudflareApiToken
Contentful	ContentfulPersonalAccessToken
Crates.io	CratesApiKey
DevCycle	DevCycleClientApiKey
DevCycle	DevCycleManagementApiToken
DevCycle	DevCycleMobileApiKey
DevCycle	DevCycleServerApiKey
DigitalOcean	DigitalOceanOAuthToken
DigitalOcean	DigitalOceanPat
DigitalOcean	DigitalOceanRefreshToken
DigitalOcean	DigitalOceanSystemToken
Széthúzás	DiscordApi Hitelesítő adatok
Széthúzás	DiscordApiToken
Doppler	DopplerAuditToken
Doppler	DopplerCliToken
Doppler	DopplerPersonalToken
Doppler	DopplerScimToken
Doppler	DopplerServiceToken
Dropbox	DropboxAccessToken
Dropbox	DropboxApp-hitelesítő adatok
Dropbox	DropboxOAuth2ShortLivedAccessToken
Düftin	DuffelAccessToken
Dynatrace	DynatraceInternalToken
EasyPost	EasyPostApiKey
Ebay	EBayProductionClient hitelesítő adatok
Ebay	EBaySandboxClient hitelesítő adatok
Rugalmas	ElasticCloudApiKey
Rugalmas	ElasticStackApiKey
EventBrite	PicaticApiKey
Facebook	FacebookAccessToken
Facebook	FacebookApp Hitelesítő adatok
Facebook	OculusAccessToken
Gyors	FastlyApiToken
Figma	FigmaPat
Finicity	FinicityAppKey
Flutterwave	FlutterwaveLiveApiSecretKey
Flutterwave	FlutterwaveTestApiSecretKey
Frame.io	FrameIODeveloperToken
Frame.io	FrameIOJwt
FullStory	FullStoryApiKey
GitHub	GitHubAppCredentials
GitHub	GitHubAppToken
GitHub	GitHubClassicPat
GitHub	GitHubOAuthAccessToken
GitHub	GitHubPat
GitHub	GitHubRefreshToken
GitHub	GitHubServerToServerToken
GitHub	GitHubUserToServerToken
GitLab	GitLabAccessToken
GoCardless	GoCardlessLiveAccessToken
GoCardless	GoCardlessSandboxAccessToken
Google	FirebaseCloudMessagingServerKey
Google	GoogleApiKey
Google	GoogleCloudPrivateKeyId
Google	GoogleCloudStorageServiceAccountAccessKey
Google	GoogleCloudStorageUserAccessKey
Google	GoogleOAuthAccessToken
Google	GoogleOAuth Hitelesítő adatok
Google	GoogleOAuthRefreshToken
Google	GoogleServiceAccountKey
Grafana	GrafanaApiKey
Grafana	GrafanaCloudApiToken
Grafana	GrafanaProjectApiKey
Grafana	GrafanaProjectServiceAccountToken
Hashicorp	HashiCorpVaultBatchLegacyToken
Hashicorp	HashiCorpVaultBatchToken
Hashicorp	HashiCorpVaultRootServiceToken
Hashicorp	HashiCorpVaultServiceLegacyToken
Hashicorp	HashiCorpVaultServiceToken
Hashicorp	TerraformCloudEnterpriseToken
HighNote	HighnoteRkKey
HighNote	HighnoteSkKey
HubSpot	HubspotApiKey
HubSpot	HubSpotApiPersonalAccessKey
HuggingFace	HuggingFaceAccessToken
Intercom	IntercomAccessToken
Ionic	IonicPat
Ionic	IonicRefreshToken
JD Cloud	JdCloudAccessKey
JFrog	JFrogPlatformAccessToken
JFrog	JFrogPlatformApiKey
Lineáris	LinearApiKey
Lineáris	LinearOAuthAccessToken
Lob	LobLiveApiKey
Lob	LobTestApiKey
LocalStack	LocalStackApiKey
LogicMonitor	LogicMonitorBearerToken
LogicMonitor	LogicMonitorLmv1AccessKey
MailChimp	MailChimpApiKey
Mailgun	MailgunApi Hitelesítő adatok
Mapbox	MapboxSecretAccessToken
MessageBird	MessageBirdApiKey
Microsoft	AadClientAppIdentifiableCredentials
Microsoft	AdoPat
Microsoft	AzureApimDirectManagementSas
Microsoft	AzureApimGatewaySas
Microsoft	AzureApimIdentifiableDirectManagementKey
Microsoft	AzureApimIdentifiableGatewayKey
Microsoft	AzureApimIdentifiableRepositoryKey
Microsoft	AzureApimIdentifiableSubscriptionKey
Microsoft	AzureApimLegacyDirectManagementKey
Microsoft	AzureApimLegacyGatewayKey
Microsoft	AzureApimLegacyRepositoryKey
Microsoft	AzureApimLegacySubscriptionKey
Microsoft	AzureApimRepositorySas
Microsoft	AzureAppConfiguration Hitelesítő adatok
Microsoft	AzureApplicationInsights Hitelesítő adatok
Microsoft	AzureBatchIdentifiableKey
Microsoft	AzureBatchLegacyKey
Microsoft	AzureBlockchain-hitelesítő adatok
Microsoft	AzureCacheForRedisIdentifiableKey
Microsoft	AzureCacheForRedisIdentifiablePrivateServiceKey
Microsoft	AzureCacheForRedisLegacyKey
Microsoft	AzureCdnSas
Microsoft	AzureCognitiveServicesKey
Microsoft	AzureCognitiveServicesTranslatorKey
Microsoft	AzureCommunicationServicesKey
Microsoft	AzureContainerRegistryIdentifiableKey
Microsoft	AzureContainerRegistryLegacyKey
Microsoft	AzureCosmosDBIdentifiableKey
Microsoft	AzureCosmosDBIdentifiablePrivateServiceKey
Microsoft	AzureCosmosDBLegacyKey
Microsoft	AzureDatabricksPat
Microsoft	AzureDevOpsOAuthToken
Microsoft	AzureEventGridKey
Microsoft	AzureEventHubIdentifiableKey
Microsoft	AzureEventHubIdentifiablePrivateServiceSystemKey
Microsoft	AzureFluidRelayKey
Microsoft	AzureFunctionIdentifiableKey
Microsoft	AzureFunctionLegacyKey
Microsoft	AzureGenomicsKey
Microsoft	AzureHDInsight-hitelesítő adatok
Microsoft	AzureIotDeviceIdentifiableKey
Microsoft	AzureIotDeviceLegacyCredentials
Microsoft	AzureIotDeviceProvisioningIdentifiableKey
Microsoft	AzureIotDeviceProvisioningLegacyCredentials
Microsoft	AzureIotHubIdentifiableKey
Microsoft	AzureIotHubLegacy Hitelesítő adatok
Microsoft	AzureLogicAppSas
Microsoft	AzureManagementCertificate
Microsoft	AzureMapsKey
Microsoft	AzureMixedRealityCredentials
Microsoft	AzureMLIdentifiablePrivateServicePrincipalCredentials
Microsoft	AzureMLWebServiceClassicIdentifiableKey
Microsoft	AzureMLWebServiceKey
Microsoft	AzureOpenAIKey
Microsoft	AzureRelayIdentifiableKey
Microsoft	AzureSearchIdentifiableAdminKey
Microsoft	AzureSearchIdentifiablePrivateServiceAdminKey
Microsoft	AzureSearchIdentifiableQueryKey
Microsoft	AzureSearchLegacyKey
Microsoft	AzureServiceBusIdentifiableKey
Microsoft	AzureServiceBusIdentifiablePrivateServiceSystemKey
Microsoft	AzureServiceBusLegacy hitelesítő adatok
Microsoft	AzureServiceDeployment hitelesítő adatok
Microsoft	AzureSignalRKey
Microsoft	AzureStorageAccountIdentifiableKey
Microsoft	AzureStorageAccountLegacyCredentials
Microsoft	AzureStorageIdentifiablePrivateServiceKey
Microsoft	AzureStorageLooseSas
Microsoft	AzureStorageSas
Microsoft	AzureWebAppBot hitelesítő adatok
Microsoft	AzureWebAppBotKey
Microsoft	AzureWebPubSub Hitelesítő adatok
Microsoft	BingApiKey
Microsoft	BingMapsKey
Microsoft	BingSearchKey
Microsoft	OfficeIncomingWebhook
Microsoft	Sas
Microsoft	SqlIdentifiableCredentials
Microsoft	VisualStudioAppCenterKey
Középközép	MidtransServerKey
New Relic	NewRelicInsightsQueryKey
New Relic	NewRelicLicenseKey
New Relic	NewRelicPersonalApiKey
New Relic	NewRelicRestApiKey
Notion	NotionIntegrationToken
Notion	NotionOAuthClient hitelesítő adatok
npm	NpmAuthorIdentifiableToken
npm	Npm-hitelesítő adatok
npm	NpmLegacyAuthorToken
NuGet	NuGetApiKey
NuGet	NuGet-hitelesítő adatok
Octopus Deploy	OctopusDeployApiKey
Onfido	OnfidoApiToken
OpenAI	OpenAIApiKeyV2
Palantir	PalantirJwt
PayPal	PayPalBraintreeAccessToken
Persona	PersonaProductionApiKey
Persona	PersonaSandboxApiKey
Pinecone	PineconeApiKey
PlanetScale	PlanetScaleDatabasePassword
PlanetScale	PlanetScaleOAuthToken
PlanetScale	PlanetScaleServiceToken
Plivo	Plivo-hitelesítő adatok
Postman	PostmanApiKey
Prefektus	PrefectServerApiToken
Prefektus	PrefectUserApiToken
Proctorio	ProctorioConsumerKey
Proctorio	ProctorioLinkageKey
Proctorio	ProctorioRegistrationKey
Proctorio	ProctorioSecretKeyV2
Pulumi	PulumiAccessToken
PyPi	PyPiApiToken
Readme	ReadMeApiKey
redirect.pizza	RedirectPizzaApiToken
Rubygems	RubyGemsApiKey
MINTA	SecretScanningSampleToken
Samsara	SamsaraApiAccessToken
Samsara	SamsaraOAuth2AccessToken
Segment.io	SegmentPublicApiToken
SendGrid	SendGridApiKey
Shippo	ShippoLiveApiToken
Shippo	ShippoTestApiToken
Shopify	ShopifyAccessToken
Shopify	ShopifyAppClient hitelesítő adatok
Shopify	ShopifyAppClientSecret
Shopify	ShopifyAppOAuthAccessToken
Shopify	ShopifyCustomAppAccessToken
Shopify	ShopifyMarketplaceToken
Shopify	ShopifyMerchantToken
Shopify	ShopifyPartnerApiToken
Shopify	ShopifyPrivateAppPassword
Shopify	ShopifySharedSecret
Slack	SlackApiKey
Slack	SlackAppLevelToken
Slack	SlackWebhook
Slack	SlackWorkflowKey
Splunk	SplunkHecApiKey
Splunk	SplunkJwtToken
Splunk	SplunkSessionKey
Square	SquareApplicationSecret
Square	Négyzetes hitelesítő adatok
Square	SquarePat
SSLMate	SSLMateApiKey
SSLMAte	SSLMateClusterSecret
Stripe	StripeLiveApiKey
Stripe	StripeLiveRestrictedApiKey
Stripe	StripeTestApiKey
Stripe	StripeTestRestrictedApiKey
Stripe	StripeWebhookSigningSecret
Supabase	SupabaseServiceKey
Tableau	TableauPersonalAccessToken
Telegram	TelegramBotToken
Telnyx	TelnyxApiV2Key
Tencent Cloud	TencentCloud-hitelesítő adatok
Tencent Cloud	TencentCloudSecretId
Twilio	TwilioApiKey hitelesítő adatok
Twilio	Twilio-hitelesítő adatok
Typeform	TypeformPat
Uniwise	WISEFlowApiKey
WakaTime	WakaTimeApp Hitelesítő adatok
WakaTime	WakaTimeOAuthAccessToken
WakaTime	WakaTimeOAuthRefreshToken
WorkOS	WorkOSProductionApiKey
WorkOS	WorkOSStagingApiKey
Yandex	YandexCloudApiKey
Yandex	YandexCloudIamAccessSecret
Yandex	YandexCloudIamCookie
Yandex	YandexCloudIamToken
Yandex	YandexDictionaryApiKey
Yandex	YandexPassportOAuthToken
Yandex	YandexPredictorApiKey
Yandex	YandexTranslateApiKey
Zuplo	ZuploConsumerApiKey

Nem szolgáltatói minták

Az alábbi táblázat a titkos kulcsok vizsgálata által észlelt, nem szolgáltató által létrehozott titkos kulcsokat sorolja fel. A nem szolgáltatói titkos kulcsok a titkos kódok vizsgálatának lap megbízhatósági legördülő listájában az "Egyéb" elemet választva tekinthetők meg. További információ: Titkos kódvizsgálati riasztások kezelése.

Tipp.

A nem szolgáltatói minták észlelése jelenleg bétaverzióban történik, és változhat.

Szolgáltató	Támogatott titkos kód	Jogkivonat neve
Általános	ASP.NET gépkulcs	AspNetMachineKey
Általános	DER-végkódolt titkos kulcs	DerPrivateKey
Általános	Dynatrace Token	DynatraceToken
Általános	GPG hitelesítő adatai	Gpg-hitelesítő adatok
Általános	HTTP-kérelemfejlécek	HttpAuthorizationRequestHeader
Általános	JavaScript webes jogkivonat	GenericJwt
Általános	LinkedIn hitelesítő adatok	LinkedIn-hitelesítő adatok
Általános	MongoDB kapcsolati sztring	MongoDb-hitelesítő adatok
Általános	MySQL/MariaDB kapcsolati sztring	MySql-hitelesítő adatok
Általános	PEM-kódolású titkos kulcs	PemPrivateKey
Általános	PGP titkos kulcs	PgpPrivateKey
Általános	PKCS12 formázott titkos kulcs	Pkcs12PrivateKey
Általános	PostgreSQL kapcsolati sztring	PostgreSql-hitelesítő adatok
Általános	Putty titkos kulcs	PuttyPrivateKey
Általános	RabbitMQ hitelesítő adatai	RabbitMq Hitelesítő adatok
Általános	RSA titkos kulcs	RsaPrivateKey
Általános	SQL Server kapcsolati sztring	SqlLegacy-hitelesítő adatok
Általános	SSH PrivateKey	OpenSshPrivateKey
Általános	SSH PrivateKey	GitHubSshPrivateKey
Általános	URL-kódolt hitelesítő adatok	URL-hitelesítő adatok

Titkos kódok vizsgálatának hibaelhárítása

A titkos kódtár vizsgálata nem fejeződött be

Ha úgy tűnik, hogy az adattárszintű titkos kulcsok vizsgálata az Advanced Security első engedélyezésekor egy idő után elakadt, próbálja meg letiltani, majd engedélyezze újra az Advanced Securityt a beolvasási művelet alaphelyzetbe állításához.

A leküldéses védelem nem blokkolja a titkos kódot

Győződjön meg arról, hogy a letiltani kívánt titkos kód támogatott a leküldéses védelemhez a fenti táblák, a támogatott titkos kódok használatával.

Nem hoztak létre adattárriasztásokat jelszóhoz

Győződjön meg arról, hogy a letiltani kívánt titkos kód támogatott felhasználói riasztásként a fenti táblák, a támogatott titkos kódok használatával. Ha egy általánosan elnevezett titkos kulcsot próbál leküldésesen leküldni, például password: password123secret: password123a titkos kódok beolvasása nem támogatja ezt a forgatókönyvet, és nem jön létre riasztás, és a leküldéses védelem sem érvényes.