Сканирование секретов

Статья
08/08/2024

Предоставленные учетные данные в инженерных системах обеспечивают легко эксплуатируемые возможности для злоумышленников. Чтобы защититься от этой угрозы, GitHub Advanced Security для Azure DevOps сканирует учетные данные и другое конфиденциальное содержимое в исходном коде. Защита от отправки также предотвращает утечку учетных данных в первую очередь.

Сканирование секретов для репозитория проверяет все секреты, которые уже могут существовать в исходном коде в журнале и принудительной защите, не позволяет предоставлять новые секреты в исходном коде.

GitHub Advanced Security для Azure DevOps работает с Azure Repos. Если вы хотите использовать GitHub Advanced Security с репозиториями GitHub, см. статью GitHub Advanced Security.

Сведения о оповещениях проверки секретов

Если включена расширенная безопасность, он сканирует репозитории для секретов, выданных различными поставщиками услуг, и создает оповещения проверки секретов.

Если для доступа к ресурсу требуются парные учетные данные, то проверка секретов может создать оповещение только при обнаружении обеих частей пары в одном файле. Связывание гарантирует, что наиболее критически важные утечки не скрыты за информацией о частичных утечках. Сопоставление пар также помогает уменьшить ложные срабатывания, так как оба элемента пары должны использоваться вместе для доступа к ресурсу поставщика.

Вкладка "Расширенная безопасность" в Repos>Advanced Security в Azure DevOps — это концентратор для просмотра оповещений системы безопасности. Перейдите на вкладку "Секреты", чтобы просмотреть оповещения проверки секретов . Вы можете фильтровать по типу состояния и секрета. Вы можете перейти к оповещению для получения дополнительных сведений, включая рекомендации по исправлению. После включения расширенной безопасности проверка запускается для выбранного репозитория, включая все исторические фиксации. Со временем оповещения начнут отображаться при выполнении сканирования.

Влияние на результаты не влияет на переименование ветвей— может потребоваться до 24 часов до отображения нового имени.

Снимок экрана: оповещения об активном сканировании секретов

Чтобы устранить предоставленные секреты, отмените предоставленные учетные данные и создайте новую в своем месте. После этого созданный секрет следует безопасно хранить таким образом, чтобы он не был напрямую отправлен обратно в код. Например, секрет может храниться в Azure Key Vault. Большинство ресурсов имеют как первичные, так и вторичные учетные данные. Метод для переката первичных учетных данных по сравнению с вторичными учетными данными идентичны, если иное не указано.

Управление оповещениями проверки секретов

Просмотр оповещений для репозитория

Любой пользователь с разрешениями участника для репозитория может просмотреть сводку всех оповещений для репозитория на вкладке "Расширенная безопасность" в репозитории. Выберите на вкладке "Секреты", чтобы просмотреть все оповещения проверки секретов.

Если расширенная безопасность недавно включена для репозитория, может отображаться карточка, указывающая, что расширенная безопасность по-прежнему сканирует репозиторий.

Снимок экрана: сканирование секретов

После завершения проверки отображаются все результаты. Одно оповещение создается для каждого обнаруженного уникального учетных данных во всех ветвях и журнале репозитория. Фильтры ветвей отсутствуют, так как они свернуты в одно оповещение.

Секреты, отличные от поставщика, можно просматривать, выбрав "Другие" в раскрывающемся списке доверия на вкладке "Сканирование секретов".

Сведения об оповещении

При переходе к оповещению отображается подробное представление оповещений и отображает дополнительные сведения о поиске и предоставлении конкретных рекомендаций по исправлению для разрешения оповещения.

Снимок экрана: сведения о оповещении проверки секретов

Section	Описание
Расположение	В разделе "Расположения " описаны пути, в которых сканирование секретов обнаружило утечку учетных данных. В журнале может быть несколько расположений или несколько фиксаций, содержащих утечку учетных данных. Все эти расположения и фиксации отображаются в разделе "Расположения " с прямой ссылкой на фрагмент кода и фиксируются в нем.
Рекомендация	В разделе рекомендаций содержатся рекомендации по исправлению или ссылка на рекомендации по исправлению документации сторонних производителей для идентифицированных учетных данных.
Закрыть оповещение	Для оповещений о проверке секретов нет автоматического исправления. Все оповещения проверки секретов должны быть проверены вручную, как исправлены на странице сведений об оповещении. Нажмите кнопку "Закрыть", чтобы убедиться, что секрет отозван.
Важность	Все оповещения проверки секретов задаются как критически важные. Любые предоставленные учетные данные потенциально являются возможностью для вредоносного субъекта.
Поиск сведений	Тип учетных данных и правила, используемых для поиска учетных данных, перечислены в разделе "Поиск сведений " на боковой панели страницы сведений об оповещении.

При использовании секретов, отличных от поставщика, уровень достоверности: другой тег также отображается индикатором серьезности в представлении сведений об оповещении.

Исправление оповещений сканирования секретов

Каждый секрет имеет уникальные действия по исправлению, которые помогут вам отменить и повторно создать новый секрет на своем месте. Подробные сведения об оповещении содержат конкретные шаги или документацию по каждому оповещению.

Оповещение о сканировании секретов остается открытым до закрытия. Чтобы проверить, исправлена ли оповещение о проверке секретов:

Перейдите к оповещению, которое вы хотите закрыть, и выберите оповещение.
Выберите раскрывающийся список "Закрыть оповещение".
Если этот параметр еще не выбран, нажмите кнопку "Исправлено".
Нажмите кнопку "Закрыть", чтобы отправить и закрыть оповещение.

Отключение оповещений проверки секретов

Чтобы закрыть оповещения в расширенной безопасности, вам потребуются соответствующие разрешения. По умолчанию только администраторы проектов могут закрыть оповещения расширенной безопасности. Дополнительные сведения о разрешениях расширенной безопасности см. в разделе "Управление разрешениями расширенной безопасности".

Чтобы закрыть оповещение:

Перейдите к оповещению, которое вы хотите закрыть, и выберите оповещение.
Выберите раскрывающийся список "Закрыть оповещение".
Если этот параметр еще не выбран, выберите "Риск принят " или "Ложный положительный результат " в качестве причины закрытия.
Добавьте необязательный комментарий в текстовое поле "Комментарий ".
Нажмите кнопку "Закрыть", чтобы отправить и закрыть оповещение.
Состояние генерации оповещений изменяется с open to Closed и отображает причину увольнения.

Снимок экрана: сведения об увольнении для оповещения проверки секретов

Любое оповещение, ранее отклоненное, можно повторно открыть вручную.

Защита скомпрометированных секретов

После фиксации секрета в репозитории секрет скомпрометирован. Корпорация Майкрософт рекомендует следующие действия для скомпрометированных секретов:

Для скомпрометированного маркера личного доступа Azure DevOps удалите скомпрометированный маркер, создайте новый маркер и обновите все службы, использующие старый маркер.
Для всех остальных секретов сначала убедитесь, что секрет, зафиксированный в Azure Repos, действителен. Если это так, создайте новый секрет, обновите все службы, использующие старый секрет, а затем удалите старый секрет.
определите все действия, выполняемые скомпрометированный маркером ресурсов вашего предприятия.

При обновлении секрета обязательно сохраните новый секрет в безопасном режиме и убедитесь, что он всегда имеет доступ и никогда не хранится в виде обычного текста. Одна из возможностей может быть через Azure Keyvault или другие решения для управления секретами.

Защита от отправки секретов

Push-защита проверяет все входящие push-запросы для секретов высокой достоверности и предотвращает передачу. В сообщении об ошибке отображаются все идентифицированные секреты, которые необходимо удалить или продолжить отправку секретов.

Сведения о оповещениях защиты от push-уведомлений

Оповещения о защите push-уведомлений — это оповещения пользователей, сообщаемые с помощью push-защиты. Сканирование секретов в качестве защиты от отправки в настоящее время сканирует репозитории для секретов, выданных некоторыми поставщиками услуг.

Защита от push-уведомлений не может блокировать более старые версии определенных маркеров, так как эти маркеры могут создавать более высокое количество ложных срабатываний, чем их последняя версия. Защита от push-уведомлений также не может блокировать устаревшие маркеры. Для маркеров, таких как ключи служба хранилища Azure, расширенная безопасность поддерживает только недавно созданные маркеры, а не маркеры, соответствующие устаревшим шаблонам.

Отправка защиты из командной строки

Защита push-уведомлений встроена изначально в Azure DevOps Git. Если фиксации содержат определенный секрет, появится сообщение об отклонении отправки.

Снимок экрана: push-отправка Git заблокирована из VS Code

Push-защита от веб-интерфейса

Защита от push-уведомлений также работает из веб-интерфейса. Если секрет определен в фиксации, вы увидите следующий блок ошибок, который останавливает отправку изменений:

Снимок экрана: отправка git заблокирована с помощью веб-интерфейса AzDO

Что делать, если ваш push-адрес был заблокирован

Push-защита блокирует секреты, найденные в текстовых файлах, которые обычно (но не ограничены) текстовыми файлами, такими как исходный код или файлы конфигурации JSON. Эти секреты хранятся в виде открытого текста. Если плохой субъект получает доступ к файлам, и они публикуются в общедоступный репозиторий, секреты доступны всем.

Рекомендуется удалить секрет из помеченного файла, а затем удалить секрет из журнала фиксации. Если помеченный секрет является заполнителем или примером секрета, рекомендуется обновить поддельный секрет, чтобы добавить строку Placeholder перед поддельным секретом.

Если секрет был добавлен в вашу немедленную предыдущую фиксацию, измените фиксацию и создайте новую фиксацию:

Удалите секрет из кода.
Фиксация изменений с помощью git commit --amend
Снова выполните отправку изменений.

Если секрет добавлен на более раннем этапе, измените фиксации при помощи интерактивного повторного размещения.

Выясните с помощью git log ту фиксацию, где вы впервые зафиксировали секрет.
Выполните интерактивную перебазу: git rebase -i [commit ID before credential introduction]~1
Определите фиксацию, которую нужно редактировать, изменив pick на edit в первой строке текста, который отображается в редакторе.
Удалите секрет из кода.
Зафиксируйте изменения с помощью команды git commit --amend.
Завершите перебазу, выполнив команду git rebase --continue.

Отправка заблокированного секрета

Обход помеченных секретов не рекомендуется, так как обход может поставить под угрозу безопасность вашей компании. Если вы подтверждаете, что идентифицированный секрет не является ложным срабатыванием, необходимо удалить секрет из всей истории ветви, прежде чем пытаться снова отправить изменения.

Если вы считаете, что заблокированный секрет является ложным положительным или безопасным для отправки, вы можете обойти защиту push-уведомлений. Включите строку skip-secret-scanning:true в сообщение фиксации. Даже при обходе защиты push-уведомлений в пользовательском интерфейсе оповещения создается оповещение о секрете после отправки секрета.

Шаблоны сканирования секретов

Расширенная безопасность поддерживает несколько наборов шаблонов сканирования секретов по умолчанию:

Шаблоны защиты push- используются для обнаружения потенциальных секретов во время принудительной отправки в репозиториях с включенной защитой от сканирования секретов.
Шаблоны оповещений пользователей — используются для обнаружения потенциальных секретов в репозиториях с включенными оповещениями проверки секретов.
Шаблоны, отличные от поставщика, используются для обнаружения распространенных вхождения структурированных секретов в репозиториях с включенными оповещениями сканирования секретов.

Поддерживаемые секреты

Section	Описание
Provider	Имя поставщика маркеров.
Имя токена	Тип токена, обнаруженного при проверке секретов расширенной безопасности.
User	Маркер, для которого передаются утечки пользователям после отправки. Это относится ко всем репозиториям, в которых включена расширенная безопасность
Защита от push-уведомлений	Маркер, для которого утечки передаются пользователям при отправке. Это относится ко всем репозиториям, где включена защита от принудительной отправки секретов.
Срок действия	Маркеры, для которых расширенная безопасность попытается выполнить проверку допустимости.

Шаблоны поставщика партнеров

В следующей таблице перечислены шаблоны поставщика партнеров, поддерживаемые сканированием секретов.

Provider	Имя токена	Защита от push-уведомлений	Оповещения пользователей	Проверка допустимости
Adafruit IO	AdafruitIOKey
Adobe	AdobeDeviceToken
Adobe	AdobeServiceToken
Adobe	AdobeShortLivedAccessToken
Akamai	AkamaiCredentials
Alibaba Cloud	AlibabaCloudCredentials
Amazon	AmazonMwsAuthToken
Amazon	AmazonOAuthCredentials
Amazon	AwsCredentials
Amazon	AwsTemporaryCredentials
Asana	AsanaPat
Atlassian	AtlassianApiToken
Atlassian	AtlassianJwt
Atlassian	BitbucketCloudOAuthCredentials
Atlassian	BitbucketServerPat
Проектор	BeamerApiKey
Брево	BrevoApiKey
Брево	BrevoSmtpKey
Канадская цифровая служба	CdsCanadaNotifyApiKey
Checkout.com	CheckoutIdentifiableSecretKey
Главные инструменты	ChiefToolsToken
Cisco	CiscoLocalAccountCredentials
Clojars	ClojarsDeployToken
Cloudant	CloudantCredentials
Cloudflare	CloudflareApiToken
Contentful	ContentfulPersonalAccessToken
Crates.io	CratesApiKey
DevCycle	DevCycleClientApiKey
DevCycle	DevCycleManagementApiToken
DevCycle	DevCycleMobileApiKey
DevCycle	DevCycleServerApiKey
DigitalOcean	DigitalOceanOAuthToken
DigitalOcean	DigitalOceanPat
DigitalOcean	DigitalOceanRefreshToken
DigitalOcean	DigitalOceanSystemToken
Discord	DiscordApiCredentials
Discord	DiscordApiToken
Doppler	DopplerAuditToken
Doppler	DopplerCliToken
Doppler	DopplerPersonalToken
Doppler	DopplerScimToken
Doppler	DopplerServiceToken
Dropbox	DropboxAccessToken
Dropbox	DropboxAppCredentials
Dropbox	DropboxOAuth2ShortLivedAccessToken
Duffel	DuffelAccessToken
Dynatrace	DynatraceInternalToken
EasyPost	EasyPostApiKey
Бэйл	EBayProductionClientCredentials
Бэйл	EBaySandboxClientCredentials
Elastic	ElasticCloudApiKey
Elastic	ElasticStackApiKey
EventBrite	PicaticApiKey
Facebook	FacebookAccessToken
Facebook	FacebookAppCredentials
Facebook	OculusAccessToken
Fastly	FastlyApiToken
Figma	FigmaPat
Finicity	FinicityAppKey
Flutterwave	FlutterwaveLiveApiSecretKey
Flutterwave	FlutterwaveTestApiSecretKey
Frame.io	FrameIODeveloperToken
Frame.io	FrameIOJwt
FullStory	FullStoryApiKey
GitHub	GitHubAppCredentials
GitHub	GitHubAppToken
GitHub	GitHubClassicPat
GitHub	GitHubOAuthAccessToken
GitHub	GitHubPat
GitHub	GitHubRefreshToken
GitHub	GitHubServerToServerToken
GitHub	GitHubUserToServerToken
GitLab	GitLabAccessToken
GoCardless	GoCardlessLiveAccessToken
GoCardless	GoCardlessSandboxAccessToken
Google	FirebaseCloudMessagingServerKey
Google	GoogleApiKey
Google	GoogleCloudPrivateKeyId
Google	GoogleCloudStorageServiceAccountAccessKey
Google	GoogleCloudStorageUserAccessKey
Google	GoogleOAuthAccessToken
Google	GoogleOAuthCredentials
Google	GoogleOAuthRefreshToken
Google	GoogleServiceAccountKey
Grafana	GrafanaApiKey
Grafana	GrafanaCloudApiToken
Grafana	GrafanaProjectApiKey
Grafana	GrafanaProjectServiceAccountToken
Хашикорп	HashiCorpVaultBatchLegacyToken
Хашикорп	HashiCorpVaultBatchToken
Хашикорп	HashiCorpVaultRootServiceToken
Хашикорп	HashiCorpVaultServiceLegacyToken
Хашикорп	HashiCorpVaultServiceToken
Хашикорп	TerraformCloudEnterpriseToken
HighNote	HighnoteRkKey
HighNote	HighnoteSkKey
HubSpot	HubspotApiKey
HubSpot	HubSpotApiPersonalAccessKey
HuggingFace	HuggingFaceAccessToken
Intercom	IntercomAccessToken
Ionic	IonicPat
Ionic	IonicRefreshToken
JD Cloud	JdCloudAccessKey
JFrog	JFrogPlatformAccessToken
JFrog	JFrogPlatformApiKey
Линейный	LinearApiKey
Линейный	LinearOAuthAccessToken
Свеча	LobLiveApiKey
Свеча	LobTestApiKey
LocalStack	LocalStackApiKey
LogicMonitor	LogicMonitorBearerToken
LogicMonitor	LogicMonitorLmv1AccessKey
MailChimp	MailChimpApiKey
Mailgun	MailgunApiCredentials
Mapbox	MapboxSecretAccessToken
MessageBird	MessageBirdApiKey
Microsoft	AadClientAppIdentifiableCredentials
Microsoft	AdoPat
Microsoft	AzureApimDirectManagementSas
Microsoft	AzureApimGatewaySas
Microsoft	AzureApimIdentifiableDirectManagementKey
Microsoft	AzureApimIdentifiableGatewayKey
Microsoft	AzureApimIdentifiableRepositoryKey
Microsoft	AzureApimIdentifiableSubscriptionKey
Microsoft	AzureApimLegacyDirectManagementKey
Microsoft	AzureApimLegacyGatewayKey
Microsoft	AzureApimLegacyRepositoryKey
Microsoft	AzureApimLegacySubscriptionKey
Microsoft	AzureApimRepositorySas
Microsoft	AzureAppConfigurationCredentials
Microsoft	AzureApplicationInsightsCredentials
Microsoft	AzureBatchIdentifiableKey
Microsoft	AzureBatchLegacyKey
Microsoft	AzureBlockchainCredentials
Microsoft	AzureCacheForRedisIdentifiableKey
Microsoft	AzureCacheForRedisIdentifiablePrivateServiceKey
Microsoft	AzureCacheForRedisLegacyKey
Microsoft	AzureCdnSas
Microsoft	AzureCognitiveServicesKey
Microsoft	AzureCognitiveServicesTranslatorKey
Microsoft	AzureCommunicationServicesKey
Microsoft	AzureContainerRegistryIdentifiableKey
Microsoft	AzureContainerRegistryLegacyKey
Microsoft	AzureCosmosDBIdentifiableKey
Microsoft	AzureCosmosDBIdentiablePrivateServiceKey
Microsoft	AzureCosmosDBLegacyKey
Microsoft	AzureDatabricksPat
Microsoft	AzureDevOpsOAuthToken
Microsoft	AzureEventGridKey
Microsoft	AzureEventHubIdentifiableKey
Microsoft	AzureEventHubIdentiablePrivateServiceSystemKey
Microsoft	AzureFluidRelayKey
Microsoft	AzureFunctionIdentifiableKey
Microsoft	AzureFunctionLegacyKey
Microsoft	AzureGenomicsKey
Microsoft	AzureHDInsightCredentials
Microsoft	AzureIotDeviceIdentifiableKey
Microsoft	AzureIotDeviceLegacyCredentials
Microsoft	AzureIotDeviceProvisioningIdentifiableKey
Microsoft	AzureIotDeviceProvisioningLegacyCredentials
Microsoft	AzureIotHubIdentifiableKey
Microsoft	AzureIotHubLegacyCredentials
Microsoft	AzureLogicAppSas
Microsoft	AzureManagementCertificate
Microsoft	AzureMapsKey
Microsoft	AzureMixedRealityCredentials
Microsoft	AzureMLIdentiablePrivateServicePrincipalCredentials
Microsoft	AzureMLWebServiceClassicIdentifiableKey
Microsoft	AzureMLWebServiceKey
Microsoft	AzureOpenAIKey
Microsoft	AzureRelayIdentifiableKey
Microsoft	AzureSearchIdentifiableAdminKey
Microsoft	AzureSearchIdentifiablePrivateServiceAdminKey
Microsoft	AzureSearchIdentifiableQueryKey
Microsoft	AzureSearchLegacyKey
Microsoft	AzureServiceBusIdentifiableKey
Microsoft	AzureServiceBusIdentiablePrivateServiceSystemKey
Microsoft	AzureServiceBusLegacyCredentials
Microsoft	AzureServiceDeploymentCredentials
Microsoft	AzureSignalRKey
Microsoft	AzureStorageAccountIdentifiableKey
Microsoft	AzureStorageAccountLegacyCredentials
Microsoft	AzureStorageIdentifiablePrivateServiceKey
Microsoft	AzureStorageLooseSas
Microsoft	AzureStorageSas
Microsoft	AzureWebAppBotCredentials
Microsoft	AzureWebAppBotKey
Microsoft	AzureWebPubSubCredentials
Microsoft	BingApiKey
Microsoft	BingMapsKey
Microsoft	BingSearchKey
Microsoft	OfficeIncomingWebhook
Microsoft	SAS
Microsoft	SqlIdentifiableCredentials
Microsoft	VisualStudioAppCenterKey
Midtrans	MidtransServerKey
New Relic	NewRelicInsightsQueryKey
New Relic	NewRelicLicenseKey
New Relic	NewRelicPersonalApiKey
New Relic	NewRelicRestApiKey
Notion	NotionIntegrationToken
Notion	NotionOAuthClientCredentials
npm	NpmAuthorIdentifiableToken
npm	NpmCredentials
npm	NpmLegacyAuthorToken
NuGet	NuGetApiKey
NuGet	NuGetCredentials
Octopus Deploy	OctopusDeployApiKey
Onfido	OnfidoApiToken
OpenAI	OpenAIApiKeyV2
Palantir	PalantirJwt
PayPal	PayPalBraintreeAccessToken
Пользователь	PersonaProductionApiKey
Пользователь	PersonaSandboxApiKey
Шишка	PineconeApiKey
PlanetScale	PlanetScaleDatabasePassword
PlanetScale	PlanetScaleOAuthToken
PlanetScale	PlanetScaleServiceToken
Plivo	PlivoCredentials
Prefect	PrefectServerApiToken
Prefect	PrefectUserApiToken
Proctorio	ProctorioConsumerKey
Proctorio	ProctorioLinkageKey
Proctorio	ProctorioRegistrationKey
Proctorio	ProctorioSecretKeyV2
Pulumi	PulumiAccessToken
PyPi	PyPiApiToken
ReadMe	ReadMeApiKey
redirect.pizza	RedirectPizzaApiToken
Rubygems	RubyGemsApiKey
SAMPLE	SecretScanningSampleToken
Samsara	SamsaraApiAccessToken
Samsara	SamsaraOAuth2AccessToken
Segment.io	SegmentPublicApiToken
SendGrid	SendGridApiKey
Shippo	ShippoLiveApiToken
Shippo	ShippoTestApiToken
Shopify	ShopifyAccessToken
Shopify	ShopifyAppClientCredentials
Shopify	ShopifyAppClientSecret
Shopify	ShopifyAppOAuthAccessToken
Shopify	ShopifyCustomAppAccessToken
Shopify	ShopifyMarketplaceToken
Shopify	ShopifyMerchantToken
Shopify	ShopifyPartnerApiToken
Shopify	ShopifyPrivateAppPassword
Shopify	ShopifySharedSecret
Slack	SlackApiKey
Slack	SlackAppLevelToken
Slack	SlackWebhook
Slack	SlackWorkflowKey
Splunk	SplunkHecApiKey
Splunk	SplunkJwtToken
Splunk	SplunkSessionKey
Square	SquareApplicationSecret
Square	SquareCredentials
Square	SquarePat
SSLMate	SSLMateApiKey
SSLMAte	SSLMateClusterSecret
Stripe	StripeLiveApiKey
Stripe	StripeLiveRestrictedApiKey
Stripe	StripeTestApiKey
Stripe	StripeTestRestrictedApiKey
Stripe	StripeWebhookSigningSecret
Supabase	SupabaseServiceKey
Tableau	TableauPersonalAccessToken
Telegram	TelegramBotToken
Telnyx	TelnyxApiV2Key
Tencent Cloud	TencentCloudCredentials
Tencent Cloud	TencentCloudSecretId
Twilio	TwilioApiKeyCredentials
Twilio	TwilioCredentials
Typeform	TypeformPat
Uniwise	WISEFlowApiKey
WakaTime	WakaTimeAppCredentials
WakaTime	WakaTimeOAuthAccessToken
WakaTime	WakaTimeOAuthRefreshToken
WorkOS	WorkOSProductionApiKey
WorkOS	WorkOSStagingApiKey
Google	GoogleCloudApiKey
Google	GoogleCloudIamAccessSecret
Google	GoogleCloudIamCookie
Google	GoogleCloudIamToken
Google	GoogleDictionaryApiKey
Google	PassportOAuthToken
Google	GooglePredictorApiKey
Google	GoogleTranslateApiKey
Zuplo	ZuploConsumerApiKey

Шаблоны, отличные от поставщика

В следующей таблице перечислены неисключаемые секреты, обнаруженные с помощью сканирования секретов. Секреты, отличные от поставщика, можно просматривать, выбрав "Другие" в раскрывающемся списке доверия на вкладке "Сканирование секретов". Дополнительные сведения см. в разделе "Управление оповещениями о проверке секретов".

Совет

Обнаружение шаблонов, не являющихся поставщиками, в настоящее время находится в бета-версии и подлежит изменению.

Provider	Поддерживаемый секрет	Имя токена
Универсальный	ключ компьютера ASP.NET	AspNetMachineKey
Универсальный	Закрытый ключ с кодом DER	DerPrivateKey
Универсальный	Токен Dynatrace	DynatraceToken
Универсальный	Учетные данные GPG	GpgCredentials
Универсальный	Заголовки HTTP-запросов	HttpAuthorizationRequestHeader
Универсальный	Веб-токен JavaScript	GenericJwt
Универсальный	Учетные данные LinkedIn	LinkedInCredentials
Универсальный	Строка подключения MongoDB	MongoDbCredentials
Универсальный	Строка подключения MySQL/MariaDB	MySqlCredentials
Универсальный	Закрытый ключ в кодировке PEM	PemPrivateKey
Универсальный	Закрытый ключ PGP	PgpPrivateKey
Универсальный	PKCS12 Форматированный закрытый ключ	Pkcs12PrivateKey
Универсальный	Строка подключения PostgreSQL	PostgreSqlCredentials
Универсальный	Закрытый ключ Клади	PuttyPrivateKey
Универсальный	Учетные данные RabbitMQ	RabbitMqCredentials
Универсальный	Закрытый ключ RSA	RsaPrivateKey
Универсальный	Строка подключения SQL Server	SqlLegacyCredentials
Универсальный	SSH PrivateKey	OpenSshPrivateKey
Универсальный	SSH PrivateKey	GitHubSshPrivateKey
Универсальный	Учетные данные в кодировке URL-адреса	UrlCredentials

Устранение неполадок с сканированием секретов

Проверка секретов репозитория не завершена

Если секрет уровня репозитория при первом включении расширенной безопасности, как представляется, зависает через некоторое время, попытайтесь отключить, а затем повторно включить расширенную безопасность для сброса операции сканирования.

Защита от push-уведомлений не блокирует секрет

Убедитесь, что секрет, который вы пытаетесь заблокировать, поддерживается для принудительной защиты с помощью приведенных выше таблиц, поддерживаемых секретов.

Нет оповещений репозитория, созданных для пароля

Убедитесь, что секрет, который вы пытаетесь заблокировать, поддерживается как оповещение пользователя с помощью приведенных выше таблиц, поддерживаемых секретов. Если вы пытаетесь отправить универсальный именованный секрет, например password: password123 secret: password123или , сканирование секретов не поддерживает этот сценарий, и оповещение не создается и не применяет защиту от отправки.

Поделиться через