Примечание.
Общественный мониторинг secret scanning в настоящее время находится Публичный предварительный просмотр и может измениться. Если у вас есть отзывы, пожалуйста, присоединяйтесь к обсуждению.
О общественном мониторинге
GitHub Мониторы для секретов, передаваемых GitHub в реальном времени. Общественный мониторинг приписывает публично раскрытые секреты вашему предприятию в зависимости от того, где ваши сотрудники работают.
Secret scanning обнаруживает секреты в хранилищах, которыми принадлежит ваше предприятие. Общественный мониторинг распространяет это обнаружение на секреты, обнаруженные в произвольных публичных репозиториях по всей GitHub.com, независимо от того, принадлежит ли вашему предприятию репозиторию, в котором он был распространён.
Это даёт администраторам корпоративной безопасности возможность видеть уязвимость учетных данных, о которой они иначе не подозревали, помогая выявлять потенциальные риски и утечки секретов, которые могут быть использованы злоумышленниками.
Как работает общественный мониторинг
Публичный мониторинг сканирует публичные репозитории, включая некодовый контент, такой как комментарии GitHub к выпускам и запросам, на предмет секретов, связанных с вашим предприятием. Когда секрет обнаружен, в обзоре безопасности на уровне предприятия появляется предупреждение.
Методы атрибуции
Публичный мониторинг использует два способа связывать обнаруженные секреты с вашим предприятием:
- Членство в корпоративном секторе: Секреты, утеченные пользователями, являющимися членами вашего предприятия
- Проверенное сопоставление доменов: Секреты, утеченные пользователями, чей адрес электронной почты совпадает с подтверждённым доменом вашего предприятия, даже если они не являются прямыми участниками предприятия
Оба метода атрибуции активны, когда включен публичный мониторинг.
Requirements
Чтобы использовать общественный мониторинг, ваше предприятие должно:
- Есть GitHub Advanced Security или GitHub Secret Protection включено