机密扫描

工程系统中公开的凭据为攻击者提供了易于利用的机会。 为了抵御此威胁,适用于 Azure DevOps 的 GitHub Advanced Security 会扫描源代码中的凭据和其他敏感内容。 推送保护还可以从一开始就防止任何凭据被泄露。

存储库的机密扫描跨历史记录扫描源代码中可能已存在的任何机密,并且推送保护防止在源代码中公开任何新机密。

适用于 Azure DevOps 的 GitHub Advanced Security 可与 Azure Repos 配合使用。 如果要将 GitHub Advanced Security 与 GitHub 存储库配合使用,请参阅 GitHub Advanced Security

关于机密扫描警报

启用 Advanced Security 后,它会扫描存储库中由各种服务提供商颁发的机密,并生成机密扫描警报。

如果访问资源需要配对的凭据,则只有在同一文件中检测到该配对的两个凭据时,机密扫描才可创建警报。 配对可确保最关键的泄露不会隐藏在有关部分泄露的信息后面。 配对还有助于减少误报,因为一个配对的两个元素必须一起使用才能访问提供商的资源。

Azure DevOps 中位于 Repos>Advanced Security 的“Advanced Security”选项卡是查看安全警报的中心。 选择密钥选项卡以查看密钥扫描警报。 可以按状态和机密类型进行筛选。 可以导航到警报以获取更多详细信息,包括修正指南。 启用 Advanced Security 后,将开始对所选存储库(包括所有历史提交)进行扫描。 经过一段时间,随着扫描的进行,警报将开始显示。

重命名分支不会对结果产生影响 - 最多可能需要 24 小时才能显示新名称。

显示活动机密扫描警报的屏幕截图

若要修正公开的机密,请使公开的凭据失效,并在其位置创建一个新凭据。 然后,新创建的机密应该以一种不会直接将其推送回代码中的方式安全地存储。 例如,机密可以存储在 Azure Key Vault 中。 大多数资源同时具有主要凭据和辅助凭据。 除非另有说明,否则滚动更新主要凭据与辅助凭据的方法是相同的。

管理机密扫描警报

查看存储库的警报

任何拥有存储库参与者权限的人都可以在“Repos”下的“Advanced Security”中查看存储库所有警报的摘要。 选择密钥选项卡以查看所有密钥扫描警报。

如果最近为存储库启用了 Advanced Security,你可能会看到一个卡,指示 Advanced Security 仍在扫描存储库。

显示扫描机密的屏幕截图

扫描完成后,将显示任何结果。 针对存储库的所有分支和历史记录中检测到的每个唯一凭据生成单个警报。 没有分支筛选器,因为它们汇总到一个警报中。

可通过从“密钥扫描”选项卡上的“置信度”下拉列表选择“其他”来查看非提供程序密钥。

GitHub Advanced Security 密钥扫描置信度筛选器的屏幕截图。

警报详细信息

导航到警报时,将显示详细的警报视图,其中显示有关查找结果的更多详细信息,并提供解决警报的特定修正指南。

显示机密扫描警报详细信息的屏幕截图

部分 说明
位置 位置部分详细说明了密钥扫描发现泄露的凭据的路径。 历史记录中可能有多个位置或多个提交包含泄露的凭据。 所有这些位置和提交都显示在位置下,其中包含一个直接链接,指向代码片段及在其中标识了该代码片段的提交。
建议 “建议”部分包含已标识凭据的修正指南或指向第三方文档修正指南的链接。
关闭警报 对于机密扫描警报,没有自动修复行为。 所有机密扫描警报都必须通过“警报详细信息”页手动证明为已修复。 选择关闭按钮以验证密钥是否已撤销。
Severity 所有机密扫描警报都设置为“关键”。 任何公开的凭据都有可能成为恶意参与者的机会。
查找详细信息 凭据类型和用于查找凭据的规则列在“警报详细信息”页边栏的查找详细信息下。

使用非提供程序密钥时,置信度:其他标记也会通过警报详细信息视图中的严重性锁屏提醒来显示。

GitHub Advanced Security 密钥扫描通用警报详细信息的屏幕截图。

修复机密扫描警报

每个机密都有独特的修正步骤,指导你如何在其位置撤消和重新生成新机密。 “警报详细信息”共享每个警报的特定步骤或文档。

机密扫描警报一直处于打开状态,直到关闭。 若要证明已修复机密扫描警报,请执行以下操作:

  1. 导航到要关闭的警报并选择该警报。
  2. 选择关闭警报下拉列表。
  3. 如果尚未选择,请选择已修复
  4. 选择关闭以提交并关闭警报。

显示如何关闭机密扫描警报的屏幕截图

消除机密扫描警报

若要消除 Advanced Security 中的警报,你需要适当的权限。 默认情况下,只有项目管理员可以消除 Advanced Security 警报。 有关 Advanced Security 权限的详细信息,请参阅管理 Advanced Security 权限

消除警报:

  1. 导航到要关闭的警报并选择该警报。
  2. 选择“关闭警报”下拉列表。
  3. 请选择“接受的风险”或“误报”作为关闭原因(如果尚未选择)。
  4. 在“注释”文本框中添加可选注释。
  5. 选择关闭以提交并关闭警报。
  6. 警报状态从打开更改为已关闭并显示消除原因。

显示机密扫描警报消除详细信息的屏幕截图

之前已消除的任何警报都可以手动重新打开。

保护受到威胁的密码

一旦机密被提交到存储库,机密就会被泄露。 Microsoft 建议对已泄露的机密采取以下措施:

  • 对于已泄露的 Azure DevOps 个人访问令牌,请删除已泄露的令牌,创建新令牌,并更新使用旧令牌的所有服务。
  • 对于所有其他机密,首先验证提交给 Azure Repos 的机密是否有效。 如果有效,请创建新机密,更新使用旧机密的所有服务,然后删除旧机密。
  • 确认已泄露的令牌对企业资源采取的任何操作。

更新机密时,请务必安全地存储新机密,并确保该机密始终被访问,并且永远不会以纯文本形式存储。 一种选择是通过 Azure Key Vault 或其他机密管理解决方案来实现。

机密推送保护

推送保护会检查任何传入的推送是否具有高可信度的机密,并防止推送通过。 错误消息显示所有标识的机密,以便删除它们或根据需要继续推送机密。

关于推送保护警报

推送保护警报是推送保护报告的用户警报。 作为一种推送保护,机密扫描当前扫描存储库,查找部分服务提供商颁发的机密。

如果访问资源需要配对的凭据,则只有在同一文件中检测到该配对的两个凭据时,机密扫描才可创建警报。 配对可确保最关键的泄露不会隐藏在有关部分泄露的信息后面。 对匹配还有助于减少误报,因为对的两个元素必须一起使用才能访问提供商的资源。

推送保护可能不会阻止某些旧版令牌,因为这些令牌生成的误报数可能高于其最新版本。 推送保护也可能不会阻止旧令牌。 对于 Azure 存储密钥等令牌,Advanced Security 仅支持“最近创建”令牌,不支持与旧模式匹配的令牌。

命令行中的推送保护

推送保护原生内置于 Azure DevOps Git 中。 如果提交包含已标识的机密,则你会看到推送被拒绝的错误。

显示 VS Code 中 git 推送被阻止的屏幕截图

Web 界面中的推送保护

推送保护也可以在 Web 界面中工作。 如果在提交中标识了机密,则你会看到以下阻止推送更改的错误块:

显示 AzDO Web UI 中 git 推送被阻止的屏幕截图

推送被阻止时该怎么办

推送保护阻止在纯文本文件中发现的机密,这些文件通常是(但不限于)源代码或 JSON 配置文件等文本文件。 这些机密以纯文本形式存储。 如果恶意参与者获得了对文件的访问权限,并且这些文件被发布到公共存储库,则任何人都可使用这些机密。

建议从标记的文件中删除机密,然后从提交历史记录中删除机密。 如果标记的机密是一个占位符或示例机密,建议更新虚设机密以在虚设机密前面追加 Placeholder 字符串。

如果在最接近的上一个提交中添加了机密,请修改该提交并创建新提交:

  1. 从代码中删除机密。
  2. 使用 git commit --amend 提交更改
  3. 再次推送更改。

如果在更早的历史记录中添加了机密,请使用交互式变基来编辑提交:

  1. 使用 git log 确定首次提交机密的提交。
  2. 执行交互式变基:git rebase -i [commit ID before credential introduction]~1
  3. 通过将编辑器中显示的文本的第一行上的 pick 更改为 edit 来确定要编辑的提交。
  4. 从代码中删除机密。
  5. 使用 git commit --amend 提交更改。
  6. 通过运行 git rebase --continue 以完成变基。

推送被阻止的机密

建议不要绕过已标记的机密,因为绕过可能会危及公司的安全。 如果确认已标识的机密不是误报,则应从整个分支历史记录中删除该机密,然后再尝试再次推送更改。

如果你认为阻止的机密是误报或可安全推送,则可以绕过推送保护。 在提交消息中包含 skip-secret-scanning:true 字符串。 即使绕过推送保护,推送机密后,也会在警报 UX 中生成机密扫描警报。

机密扫描模式

Advanced Security 会维护多组默认密钥扫描模式:

  1. 推送保护模式 - 用于在启用了机密扫描推送保护的存储库中检测推送时的潜在机密。
  2. 用户警报模式 - 用于检测启用了密钥扫描警报的存储库中的潜在密钥。
  3. 非提供程序模式 - 用于检测启用了密钥扫描警报的存储库中的结构化密钥的常见事件。

支持的机密

部分 说明
提供程序 令牌提供程序的名称。
令牌名称 Advanced Security 密钥扫描所发现令牌的类型。
用户 推送后向用户报告出现泄漏情况的对应令牌。 它适用于已启用 Advanced Security 的所有存储库
推送保护 推送时向用户报告出现泄漏情况的对应令牌。 它适用于已启用密钥推送保护的所有存储库。
有效期 Advanced Security 将尝试为其执行有效性检查的对应令牌。

合作伙伴提供程序模式

下表列出了密钥扫描支持的合作伙伴提供程序模式。

提供程序 令牌名称 推送保护 用户警报 有效性检查
Adafruit IO AdafruitIOKey 绿色复选标记 绿色复选标记
Adobe AdobeDeviceToken 绿色复选标记
Adobe AdobeServiceToken 绿色复选标记
Adobe AdobeShortLivedAccessToken 绿色复选标记
Akamai AkamaiCredentials 绿色复选标记
Alibaba Cloud AlibabaCloudCredentials 绿色复选标记 绿色复选标记
Amazon AmazonMwsAuthToken 绿色复选标记
Amazon AmazonOAuthCredentials 绿色复选标记 绿色复选标记
Amazon AwsCredentials 绿色复选标记 绿色复选标记
Amazon AwsTemporaryCredentials 绿色复选标记 绿色复选标记
Asana AsanaPat 绿色复选标记 绿色复选标记
Atlassian AtlassianApiToken 绿色复选标记
Atlassian AtlassianJwt 绿色复选标记
Atlassian BitbucketCloudOAuthCredentials 绿色复选标记
Atlassian BitbucketServerPat 绿色复选标记 绿色复选标记
Beamer BeamerApiKey 绿色复选标记
Brevo BrevoApiKey 绿色复选标记 绿色复选标记
Brevo BrevoSmtpKey 绿色复选标记 绿色复选标记
Canadian Digital Service CdsCanadaNotifyApiKey 绿色复选标记 绿色复选标记
Checkout.com CheckoutIdentifiableSecretKey 绿色复选标记
Chief 工具 ChiefToolsToken 绿色复选标记 绿色复选标记
Cisco CiscoLocalAccountCredentials 绿色复选标记
Clojars ClojarsDeployToken 绿色复选标记
Cloudant CloudantCredentials 绿色复选标记
Cloudflare CloudflareApiToken 绿色复选标记
Contentful ContentfulPersonalAccessToken 绿色复选标记
Crates.io CratesApiKey 绿色复选标记
DevCycle DevCycleClientApiKey 绿色复选标记 绿色复选标记
DevCycle DevCycleManagementApiToken 绿色复选标记
DevCycle DevCycleMobileApiKey 绿色复选标记 绿色复选标记
DevCycle DevCycleServerApiKey 绿色复选标记 绿色复选标记
DigitalOcean DigitalOceanOAuthToken 绿色复选标记 绿色复选标记
DigitalOcean DigitalOceanPat 绿色复选标记 绿色复选标记
DigitalOcean DigitalOceanRefreshToken 绿色复选标记 绿色复选标记
DigitalOcean DigitalOceanSystemToken 绿色复选标记 绿色复选标记
Discord DiscordApiCredentials 绿色复选标记
Discord DiscordApiToken 绿色复选标记 绿色复选标记
Doppler DopplerAuditToken 绿色复选标记 绿色复选标记
Doppler DopplerCliToken 绿色复选标记 绿色复选标记
Doppler DopplerPersonalToken 绿色复选标记 绿色复选标记
Doppler DopplerScimToken 绿色复选标记 绿色复选标记
Doppler DopplerServiceToken 绿色复选标记 绿色复选标记
Dropbox DropboxAccessToken 绿色复选标记
Dropbox DropboxAppCredentials 绿色复选标记
Dropbox DropboxOAuth2ShortLivedAccessToken 绿色复选标记 绿色复选标记
Duffel DuffelAccessToken 绿色复选标记 绿色复选标记
Dynatrace DynatraceInternalToken 绿色复选标记
EasyPost EasyPostApiKey 绿色复选标记 绿色复选标记
Ebay EBayProductionClientCredentials 绿色复选标记
Ebay EBaySandboxClientCredentials 绿色复选标记
Elastic ElasticCloudApiKey 绿色复选标记
Elastic ElasticStackApiKey 绿色复选标记
EventBrite PicaticApiKey 绿色复选标记
Facebook FacebookAccessToken 绿色复选标记
Facebook FacebookAppCredentials 绿色复选标记
Facebook OculusAccessToken 绿色复选标记
Fastly FastlyApiToken 绿色复选标记
Figma FigmaPat 绿色复选标记 绿色复选标记
Finicity FinicityAppKey 绿色复选标记
Flutterwave FlutterwaveLiveApiSecretKey 绿色复选标记 绿色复选标记
Flutterwave FlutterwaveTestApiSecretKey 绿色复选标记
Frame.io FrameIODeveloperToken 绿色复选标记
Frame.io FrameIOJwt 绿色复选标记
FullStory FullStoryApiKey 绿色复选标记 绿色复选标记
GitHub GitHubAppCredentials 绿色复选标记
GitHub GitHubAppToken 绿色复选标记 绿色复选标记
GitHub GitHubClassicPat 绿色复选标记 绿色复选标记
GitHub GitHubOAuthAccessToken 绿色复选标记 绿色复选标记
GitHub GitHubPat 绿色复选标记 绿色复选标记
GitHub GitHubRefreshToken 绿色复选标记 绿色复选标记
GitHub GitHubServerToServerToken 绿色复选标记 绿色复选标记
GitHub GitHubUserToServerToken 绿色复选标记 绿色复选标记
GitLab GitLabAccessToken 绿色复选标记
GoCardless GoCardlessLiveAccessToken 绿色复选标记
GoCardless GoCardlessSandboxAccessToken 绿色复选标记
Google FirebaseCloudMessagingServerKey 绿色复选标记
Google GoogleApiKey 绿色复选标记
Google GoogleCloudPrivateKeyId 绿色复选标记 绿色复选标记
Google GoogleCloudStorageServiceAccountAccessKey 绿色复选标记 绿色复选标记
Google GoogleCloudStorageUserAccessKey 绿色复选标记 绿色复选标记
Google GoogleOAuthAccessToken 绿色复选标记
Google GoogleOAuthCredentials 绿色复选标记
Google GoogleOAuthRefreshToken 绿色复选标记
Google GoogleServiceAccountKey 绿色复选标记
Grafana GrafanaApiKey 绿色复选标记 绿色复选标记
Grafana GrafanaCloudApiToken 绿色复选标记
Grafana GrafanaProjectApiKey 绿色复选标记
Grafana GrafanaProjectServiceAccountToken 绿色复选标记
Hashicorp HashiCorpVaultBatchLegacyToken 绿色复选标记 绿色复选标记
Hashicorp HashiCorpVaultBatchToken 绿色复选标记 绿色复选标记
Hashicorp HashiCorpVaultRootServiceToken 绿色复选标记 绿色复选标记
Hashicorp HashiCorpVaultServiceLegacyToken 绿色复选标记 绿色复选标记
Hashicorp HashiCorpVaultServiceToken 绿色复选标记 绿色复选标记
Hashicorp TerraformCloudEnterpriseToken 绿色复选标记 绿色复选标记
HighNote HighnoteRkKey 绿色复选标记 绿色复选标记
HighNote HighnoteSkKey 绿色复选标记 绿色复选标记
HubSpot HubspotApiKey 绿色复选标记 绿色复选标记
HubSpot HubSpotApiPersonalAccessKey 绿色复选标记 绿色复选标记
HuggingFace HuggingFaceAccessToken 绿色复选标记
Intercom IntercomAccessToken 绿色复选标记 绿色复选标记
Ionic IonicPat 绿色复选标记 绿色复选标记
Ionic IonicRefreshToken 绿色复选标记 绿色复选标记
JD Cloud JdCloudAccessKey 绿色复选标记
JFrog JFrogPlatformAccessToken 绿色复选标记 绿色复选标记
JFrog JFrogPlatformApiKey 绿色复选标记 绿色复选标记
线性 LinearApiKey 绿色复选标记 绿色复选标记
线性 LinearOAuthAccessToken 绿色复选标记 绿色复选标记
Lob LobLiveApiKey 绿色复选标记
Lob LobTestApiKey 绿色复选标记
LocalStack LocalStackApiKey 绿色复选标记
LogicMonitor LogicMonitorBearerToken 绿色复选标记 绿色复选标记
LogicMonitor LogicMonitorLmv1AccessKey 绿色复选标记 绿色复选标记
MailChimp MailChimpApiKey 绿色复选标记
Mailgun MailgunApiCredentials 绿色复选标记
Mapbox MapboxSecretAccessToken 绿色复选标记
MessageBird MessageBirdApiKey 绿色复选标记
Microsoft AadClientAppIdentifiableCredentials 绿色复选标记 绿色复选标记
Microsoft AdoPat 绿色复选标记 绿色复选标记
Microsoft AzureApimDirectManagementSas 绿色复选标记
Microsoft AzureApimGatewaySas 绿色复选标记
Microsoft AzureApimIdentifiableDirectManagementKey 绿色复选标记 绿色复选标记
Microsoft AzureApimIdentifiableGatewayKey 绿色复选标记 绿色复选标记
Microsoft AzureApimIdentifiableRepositoryKey 绿色复选标记 绿色复选标记
Microsoft AzureApimIdentifiableSubscriptionKey 绿色复选标记 绿色复选标记
Microsoft AzureApimLegacyDirectManagementKey 绿色复选标记
Microsoft AzureApimLegacyGatewayKey 绿色复选标记 绿色复选标记
Microsoft AzureApimLegacyRepositoryKey 绿色复选标记 绿色复选标记
Microsoft AzureApimLegacySubscriptionKey 绿色复选标记
Microsoft AzureApimRepositorySas 绿色复选标记
Microsoft AzureAppConfigurationCredentials 绿色复选标记 绿色复选标记
Microsoft AzureApplicationInsightsCredentials 绿色复选标记
Microsoft AzureBatchIdentifiableKey 绿色复选标记 绿色复选标记
Microsoft AzureBatchLegacyKey 绿色复选标记
Microsoft AzureBlockchainCredentials 绿色复选标记
Microsoft AzureCacheForRedisIdentifiableKey 绿色复选标记 绿色复选标记
Microsoft AzureCacheForRedisIdentifiablePrivateServiceKey 绿色复选标记 绿色复选标记
Microsoft AzureCacheForRedisLegacyKey 绿色复选标记 绿色复选标记
Microsoft AzureCdnSas 绿色复选标记
Microsoft AzureCognitiveServicesKey 绿色复选标记
Microsoft AzureCognitiveServicesTranslatorKey 绿色复选标记
Microsoft AzureCommunicationServicesKey 绿色复选标记 绿色复选标记
Microsoft AzureContainerRegistryIdentifiableKey 绿色复选标记 绿色复选标记
Microsoft AzureContainerRegistryLegacyKey 绿色复选标记 绿色复选标记
Microsoft AzureCosmosDBIdentifiableKey 绿色复选标记 绿色复选标记
Microsoft AzureCosmosDBIdentifiablePrivateServiceKey 绿色复选标记 绿色复选标记
Microsoft AzureCosmosDBLegacyKey 绿色复选标记 绿色复选标记
Microsoft AzureDatabricksPat 绿色复选标记 绿色复选标记
Microsoft AzureDevOpsOAuthToken 绿色复选标记
Microsoft AzureEventGridKey 绿色复选标记 绿色复选标记
Microsoft AzureEventHubIdentifiableKey 绿色复选标记 绿色复选标记
Microsoft AzureEventHubIdentifiablePrivateServiceSystemKey 绿色复选标记 绿色复选标记
Microsoft AzureFluidRelayKey 绿色复选标记
Microsoft AzureFunctionIdentifiableKey 绿色复选标记 绿色复选标记
Microsoft AzureFunctionLegacyKey 绿色复选标记 绿色复选标记
Microsoft AzureGenomicsKey 绿色复选标记
Microsoft AzureHDInsightCredentials 绿色复选标记
Microsoft AzureIotDeviceIdentifiableKey 绿色复选标记 绿色复选标记
Microsoft AzureIotDeviceLegacyCredentials 绿色复选标记 绿色复选标记
Microsoft AzureIotDeviceProvisioningIdentifiableKey 绿色复选标记 绿色复选标记
Microsoft AzureIotDeviceProvisioningLegacyCredentials 绿色复选标记 绿色复选标记
Microsoft AzureIotHubIdentifiableKey 绿色复选标记 绿色复选标记
Microsoft AzureIotHubLegacyCredentials 绿色复选标记 绿色复选标记
Microsoft AzureLogicAppSas 绿色复选标记
Microsoft AzureManagementCertificate 绿色复选标记
Microsoft AzureMapsKey 绿色复选标记
Microsoft AzureMixedRealityCredentials 绿色复选标记
Microsoft AzureMLIdentifiablePrivateServicePrincipalCredentials 绿色复选标记 绿色复选标记
Microsoft AzureMLWebServiceClassicIdentifiableKey 绿色复选标记 绿色复选标记
Microsoft AzureMLWebServiceKey 绿色复选标记
Microsoft AzureOpenAIKey 绿色复选标记
Microsoft AzureRelayIdentifiableKey 绿色复选标记 绿色复选标记
Microsoft AzureSearchIdentifiableAdminKey 绿色复选标记 绿色复选标记
Microsoft AzureSearchIdentifiablePrivateServiceAdminKey 绿色复选标记 绿色复选标记
Microsoft AzureSearchIdentifiableQueryKey 绿色复选标记 绿色复选标记
Microsoft AzureSearchLegacyKey 绿色复选标记
Microsoft AzureServiceBusIdentifiableKey 绿色复选标记 绿色复选标记
Microsoft AzureServiceBusIdentifiablePrivateServiceSystemKey 绿色复选标记 绿色复选标记
Microsoft AzureServiceBusLegacyCredentials 绿色复选标记 绿色复选标记
Microsoft AzureServiceDeploymentCredentials 绿色复选标记
Microsoft AzureSignalRKey 绿色复选标记 绿色复选标记
Microsoft AzureStorageAccountIdentifiableKey 绿色复选标记 绿色复选标记
Microsoft AzureStorageAccountLegacyCredentials 绿色复选标记 绿色复选标记
Microsoft AzureStorageIdentifiablePrivateServiceKey 绿色复选标记 绿色复选标记
Microsoft AzureStorageLooseSas 绿色复选标记
Microsoft AzureStorageSas 绿色复选标记
Microsoft AzureWebAppBotCredentials 绿色复选标记
Microsoft AzureWebAppBotKey 绿色复选标记
Microsoft AzureWebPubSubCredentials 绿色复选标记 绿色复选标记
Microsoft BingApiKey 绿色复选标记
Microsoft BingMapsKey 绿色复选标记
Microsoft BingSearchKey 绿色复选标记
Microsoft OfficeIncomingWebhook 绿色复选标记 绿色复选标记
Microsoft Sas 绿色复选标记
Microsoft SqlIdentifiableCredentials 绿色复选标记 绿色复选标记
Microsoft VisualStudioAppCenterKey 绿色复选标记
Midtrans MidtransServerKey 绿色复选标记 绿色复选标记
New Relic NewRelicInsightsQueryKey 绿色复选标记 绿色复选标记
New Relic NewRelicLicenseKey 绿色复选标记
New Relic NewRelicPersonalApiKey 绿色复选标记 绿色复选标记
New Relic NewRelicRestApiKey 绿色复选标记 绿色复选标记
Notion NotionIntegrationToken 绿色复选标记
Notion NotionOAuthClientCredentials 绿色复选标记
npm NpmAuthorIdentifiableToken 绿色复选标记 绿色复选标记
npm NpmCredentials 绿色复选标记 绿色复选标记
npm NpmLegacyAuthorToken 绿色复选标记
NuGet NuGetApiKey 绿色复选标记 绿色复选标记
NuGet NuGetCredentials 绿色复选标记
Octopus 部署 OctopusDeployApiKey 绿色复选标记
Onfido OnfidoApiToken 绿色复选标记 绿色复选标记
OpenAI OpenAIApiKeyV2 绿色复选标记 绿色复选标记
Palantir PalantirJwt 绿色复选标记
PayPal PayPalBraintreeAccessToken 绿色复选标记
Persona PersonaProductionApiKey 绿色复选标记 绿色复选标记
Persona PersonaSandboxApiKey 绿色复选标记
PineCone PineconeApiKey 绿色复选标记
PlanetScale PlanetScaleDatabasePassword 绿色复选标记 绿色复选标记
PlanetScale PlanetScaleOAuthToken 绿色复选标记 绿色复选标记
PlanetScale PlanetScaleServiceToken 绿色复选标记 绿色复选标记
Plivo PlivoCredentials 绿色复选标记
Prefect PrefectServerApiToken 绿色复选标记 绿色复选标记
Prefect PrefectUserApiToken 绿色复选标记 绿色复选标记
Proctorio ProctorioConsumerKey 绿色复选标记
Proctorio ProctorioLinkageKey 绿色复选标记
Proctorio ProctorioRegistrationKey 绿色复选标记
Proctorio ProctorioSecretKeyV2 绿色复选标记 绿色复选标记
Pulumi PulumiAccessToken 绿色复选标记
PyPi PyPiApiToken 绿色复选标记
ReadMe ReadMeApiKey 绿色复选标记 绿色复选标记
redirect.pizza RedirectPizzaApiToken 绿色复选标记 绿色复选标记
Rubygems RubyGemsApiKey 绿色复选标记
SAMPLE SecretScanningSampleToken
Samsara SamsaraApiAccessToken 绿色复选标记 绿色复选标记
Samsara SamsaraOAuth2AccessToken 绿色复选标记 绿色复选标记
Segment.io SegmentPublicApiToken 绿色复选标记
SendGrid SendGridApiKey 绿色复选标记 绿色复选标记
Shippo ShippoLiveApiToken 绿色复选标记 绿色复选标记
Shippo ShippoTestApiToken 绿色复选标记
Shopify ShopifyAccessToken 绿色复选标记 绿色复选标记
Shopify ShopifyAppClientCredentials 绿色复选标记
Shopify ShopifyAppClientSecret 绿色复选标记
Shopify ShopifyAppOAuthAccessToken 绿色复选标记
Shopify ShopifyCustomAppAccessToken 绿色复选标记
Shopify ShopifyMarketplaceToken 绿色复选标记
Shopify ShopifyMerchantToken 绿色复选标记
Shopify ShopifyPartnerApiToken 绿色复选标记
Shopify ShopifyPrivateAppPassword 绿色复选标记
Shopify ShopifySharedSecret 绿色复选标记 绿色复选标记
Slack SlackApiKey 绿色复选标记 绿色复选标记
Slack SlackAppLevelToken 绿色复选标记 绿色复选标记
Slack SlackWebhook 绿色复选标记
Slack SlackWorkflowKey 绿色复选标记
Splunk SplunkHecApiKey 绿色复选标记
Splunk SplunkJwtToken 绿色复选标记
Splunk SplunkSessionKey 绿色复选标记
Square SquareApplicationSecret 绿色复选标记
Square SquareCredentials 绿色复选标记
Square SquarePat 绿色复选标记
SSLMate SSLMateApiKey 绿色复选标记
SSLMAte SSLMateClusterSecret 绿色复选标记
Stripe StripeLiveApiKey 绿色复选标记 绿色复选标记
Stripe StripeLiveRestrictedApiKey 绿色复选标记
Stripe StripeTestApiKey 绿色复选标记
Stripe StripeTestRestrictedApiKey 绿色复选标记
Stripe StripeWebhookSigningSecret 绿色复选标记
Supabase SupabaseServiceKey 绿色复选标记
画面 TableauPersonalAccessToken 绿色复选标记
Telegram TelegramBotToken 绿色复选标记
Telnyx TelnyxApiV2Key 绿色复选标记
Tencent Cloud TencentCloudCredentials 绿色复选标记 绿色复选标记
Tencent Cloud TencentCloudSecretId 绿色复选标记 绿色复选标记
Twilio TwilioApiKeyCredentials 绿色复选标记
Twilio TwilioCredentials 绿色复选标记
Typeform TypeformPat 绿色复选标记 绿色复选标记
Uniwise WISEFlowApiKey 绿色复选标记 绿色复选标记
WakaTime WakaTimeAppCredentials 绿色复选标记 绿色复选标记
WakaTime WakaTimeOAuthAccessToken 绿色复选标记 绿色复选标记
WakaTime WakaTimeOAuthRefreshToken 绿色复选标记 绿色复选标记
WorkOS WorkOSProductionApiKey 绿色复选标记 绿色复选标记
WorkOS WorkOSStagingApiKey 绿色复选标记
Yandex YandexCloudApiKey 绿色复选标记
Yandex YandexCloudIamAccessSecret 绿色复选标记
Yandex YandexCloudIamCookie 绿色复选标记
Yandex YandexCloudIamToken 绿色复选标记
Yandex YandexDictionaryApiKey 绿色复选标记
Yandex YandexPassportOAuthToken 绿色复选标记 绿色复选标记
Yandex YandexPredictorApiKey 绿色复选标记
Yandex YandexTranslateApiKey 绿色复选标记
Zuplo ZuploConsumerApiKey 绿色复选标记 绿色复选标记

非提供商模式

下表列出了通过密钥扫描检测到的非提供程序生成的密钥。 可通过从“密钥扫描”选项卡上的“置信度”下拉列表选择“其他”来查看非提供程序密钥。有关详细信息,请参阅管理密钥扫描警报

提示

非提供程序模式的检测目前处于测试阶段,且可能会出现变化。

提供程序 支持的密钥 令牌名称
常规 ASP.NET 计算机密钥 AspNetMachineKey
常规 采用 DER 编码的私钥 DerPrivateKey
常规 Dynatrace 令牌 DynatraceToken
常规 GPG 凭据 GpgCredentials
常规 HTTP 请求头 HttpAuthorizationRequestHeader
常规 JavaScript Web 令牌 GenericJwt
常规 LinkedIn 凭据 LinkedInCredentials
常规 MongoDB 连接字符串 MongoDbCredentials
常规 MySQL/MariaDB 连接字符串 MySqlCredentials
常规 采用 PEM 编码的私钥 PemPrivateKey
常规 PGP 私钥 PgpPrivateKey
常规 采用 PKCS12 格式的私钥 Pkcs12PrivateKey
常规 PostgreSQL 连接字符串 PostgreSqlCredentials
常规 Putty 私钥 PuttyPrivateKey
常规 RabbitMQ 凭据 RabbitMqCredentials
常规 RSA 私钥 RsaPrivateKey
常规 SQL Server 连接字符串 SqlLegacyCredentials
常规 SSH 私钥 OpenSshPrivateKey
常规 SSH 私钥 GitHubSshPrivateKey
常规 采用 URL 编码的凭据 UrlCredentials

排查机密扫描问题

机密扫描存储库扫描未完成

如果首次启用高级安全时的存储库级机密扫描在一段时间后似乎卡住,请尝试禁用,然后重新启用高级安全以重置扫描操作。

推送保护不会阻止机密

使用上表支持的机密,确保尝试阻止的机密支持推送保护。

没有为密码创建存储库警报

使用上表支持的机密,确保尝试阻止的机密作为用户警报被支持。 如果尝试推送常规命名的机密,例如 password: password123secret: password123,机密扫描不支持此方案,并且不会创建任何警报,也不会应用推送保护。