Defining custom patterns for secret scanning

Protect your unique secret types by defining custom patterns with regular expressions.

Кто может использовать эту функцию?

Владельцы репозитория, владелец организации, руководители безопасности, администраторы предприятия и пользователи с ролью администратора

Репозитории, принадлежащие организации, на GitHub Team или GitHub Enterprise с включённым GitHub Secret Protection

Phase 5: Scale, customize, and automate

Статья 2 из 4
Следующий:Enabling delegated bypass for push protection

В этой статье

Defining a custom pattern for a repository

Before defining a custom pattern, you must ensure that Secret Protection is enabled on your repository. For more information, see Enabling secret scanning for your repository.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под именем репозитория щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: заголовок репозитория с вкладками. Вкладка "Параметры" выделена темно-оранжевым контуром.

  3. В разделе "Безопасность" боковой панели щелкните Advanced Security.

  4. Under "Secret Protection", to the right of "Custom patterns", click New pattern.

  5. Введите сведения о новом пользовательском шаблоне. Необходимо по крайней мере указать имя шаблона и регулярное выражение для формата шаблона секрета.

    1. В поле "Имя шаблона" введите имя шаблона.
    2. В поле «Секретный формат» введите регулярное выражение формата вашего секретного узора.
    3. Вы можете щелкнуть дополнительные параметры для предоставления другого окружающего содержимого или дополнительных требований соответствия для формата секрета. См . раздел AUTOTITLE.
    4. Предоставьте пример тестовой строки для проверки соответствия конфигурации ожидаемым шаблонам.

    Снимок экрана: заполненная настраиваемая форма данных secret scanning.

  6. When you're ready to test your new custom pattern, to identify matches in the repository without creating alerts, click Save and dry run.

  7. По завершении пробного запуска вы увидите выборку результатов (до 1000). Проверьте результаты и определите ложноположительные.

    Снимок экрана: результаты сухого запуска.

  8. Измените новый пользовательский шаблон, чтобы устранить все проблемы с результатами, а затем, чтобы протестировать изменения, щелкните Сохранить и выполнить пробный запуск.

  9. Когда вы удовлетворены новым пользовательским шаблоном, нажмите кнопку "Опубликовать шаблон".

  10. Optionally, to enable push protection for your custom pattern, click Enable. For more information, see Push protection.

    Примечание.

    The "Enable" button isn't available until after the dry run succeeds and you publish the pattern.

After your pattern is created, secret scanning сканирует все секреты во всем журнале Git во всех ветвях, имеющихся в репозитории GitHub. For more information on viewing Оповещения о сканировании секретов, see Управление оповещениями проверки секретов.

Defining a custom pattern for an organization

Before defining a custom pattern, you must ensure that you enable secret scanning for the repositories that you want to scan in your organization. You can use security configurations to enable secret scanning on all repositories in your organization. For more information, see Enabling security features at scale.

  1. В правом верхнем углу GitHub, щелкните рисунок профиля, а затем выберите октикона "организация" aria-hidden="true" aria-label="organization" %} Ваши организации.

  2. Выберите организацию, кликнув по ней.

  3. Под именем организации щелкните Settings. Если вкладка "Параметры" не отображается, выберите раскрывающееся меню и нажмите кнопку "Параметры".

    Снимок экрана: вкладки в профиле организации. Вкладка "Параметры" выделена темно-оранжевым цветом.

  4. In the "Security" section of the sidebar, select the Advanced Security dropdown menu, then click Global settings.

  5. В разделе «Пользовательские выкройки» нажмите « Новая выкройка».

  6. Введите сведения о новом пользовательском шаблоне. Необходимо по крайней мере указать имя шаблона и регулярное выражение для формата шаблона секрета.

    1. В поле "Имя шаблона" введите имя шаблона.
    2. В поле «Секретный формат» введите регулярное выражение формата вашего секретного узора.
    3. Вы можете щелкнуть дополнительные параметры для предоставления другого окружающего содержимого или дополнительных требований соответствия для формата секрета. См . раздел AUTOTITLE.
    4. Предоставьте пример тестовой строки для проверки соответствия конфигурации ожидаемым шаблонам.

    Снимок экрана: заполненная настраиваемая форма данных secret scanning.

  7. When you're ready to test your new custom pattern, to identify matches in select repositories without creating alerts, click Save and dry run.

  8. Выберите репозитории, в которых требуется выполнить пробное выполнение.

    • Чтобы выполнить пробное выполнение во всей организации, щелкните Все репозитории в организации.
    • Чтобы указать репозитории, в которых требуется выполнить пробное выполнение, щелкните Выбранные репозитории, а затем найдите и выберите до 10 репозиториев.

  9. Когда вы будете готовы протестировать новый пользовательский шаблон, щелкните Выполнить.

  10. По завершении пробного запуска вы увидите выборку результатов (до 1000). Проверьте результаты и определите ложноположительные.

    Снимок экрана: результаты сухого запуска.

  11. Измените новый пользовательский шаблон, чтобы устранить все проблемы с результатами, а затем, чтобы протестировать изменения, щелкните Сохранить и выполнить пробный запуск.

  12. Когда вы удовлетворены новым пользовательским шаблоном, нажмите кнопку "Опубликовать шаблон".

  13. Optionally, to enable push protection for your custom pattern, click Enable. For more information, see Push protection.

    Примечание.

    • Параметр включения защиты push-уведомлений отображается только для опубликованных шаблонов.
    • Защита от отправки пользовательских шаблонов применяется только к репозиториям в вашей организации, которые имеют secret scanning в качестве включенной защиты push-уведомлений.
    • Включение защиты push-уведомлений для часто найденных пользовательских шаблонов может быть нарушено для участников.

After your pattern is created, secret scanning scans for any secrets in repositories in your organization, including their entire Git history on all branches. Organization owners and repository administrators will be alerted to any secrets found and can review the alert in the repository where the secret is found. For more information on viewing Оповещения о сканировании секретов, see Управление оповещениями проверки секретов.

Defining a custom pattern for an enterprise account

Before defining a custom pattern, you must ensure that you enable secret scanning for your enterprise account. For more information, see Создание GitHub Advanced Securityпродуктов для вашего бизнеса.

Примечание.

  • At the enterprise level, only the creator of a custom pattern can edit the pattern, and use it in a dry run.
  • Вы можете выполнять только сухой запуск в репозиториях, к которым у вас есть доступ к администрирования. Если владелец предприятия хочет получить доступ к выполнению сухих запусков в любом репозитории в организации, им необходимо назначить роль владелец организации. Дополнительные сведения см. в разделе Управление ролью в организации, принадлежащей предприятию.

  1. В правом верхнем углу GitHub Enterprise Serverщелкните рисунок профиля, а затем выберите параметры Enterprise.

  2. В левой части страницы на боковой панели учетной записи предприятия щелкните Policies.

  3. В разделе "Policies", щелкните Advanced SecurityCode security.

  4. Under "Advanced SecurityCode security", click Security features.

  5. Under "Secret scanning custom patterns", click New pattern.

  6. Введите сведения о новом пользовательском шаблоне. Необходимо по крайней мере указать имя шаблона и регулярное выражение для формата шаблона секрета.

    1. В поле "Имя шаблона" введите имя шаблона.
    2. В поле «Секретный формат» введите регулярное выражение формата вашего секретного узора.
    3. Вы можете щелкнуть дополнительные параметры для предоставления другого окружающего содержимого или дополнительных требований соответствия для формата секрета. См . раздел AUTOTITLE.
    4. Предоставьте пример тестовой строки для проверки соответствия конфигурации ожидаемым шаблонам.

    Снимок экрана: заполненная настраиваемая форма данных secret scanning.

  7. When you're ready to test your new custom pattern, to identify matches in the enterprise without creating alerts, click Save and dry run.

  8. Найдите и выберите до 10 репозиториев, в которых требуется выполнить пробный запуск.

  9. Когда вы будете готовы протестировать новый пользовательский шаблон, щелкните Выполнить.

  10. По завершении пробного запуска вы увидите выборку результатов (до 1000). Проверьте результаты и определите ложноположительные.

    Снимок экрана: результаты сухого запуска.

  11. Измените новый пользовательский шаблон, чтобы устранить все проблемы с результатами, а затем, чтобы протестировать изменения, щелкните Сохранить и выполнить пробный запуск.

  12. Когда вы удовлетворены новым пользовательским шаблоном, нажмите кнопку "Опубликовать шаблон".

  13. Optionally, to enable push protection for your custom pattern, click Enable. For more information, see Push protection.

    Примечание.

    • Чтобы включить защиту push-уведомлений для пользовательских шаблонов, secret scanning в качестве защиты push-уведомлений необходимо включить на уровне предприятия.
    • Включение защиты push-уведомлений для часто найденных пользовательских шаблонов может быть нарушено для участников.

After your pattern is created, secret scanning scans for any secrets in repositories within your organizations with GitHub Secret Protection enabled, including their entire Git history on all branches. Organization owners and repository administrators will be alerted to any secrets found, and can review the alert in the repository where the secret is found. For more information on viewing Оповещения о сканировании секретов, see Управление оповещениями проверки секретов.

Applying a custom security configurationEnabling delegated bypass for push protection