关于密码扫描

如果项目与外部服务通信，您可能使用令牌或私钥进行身份验证。 令牌和私钥是服务提供商可以签发的典型密码。 如果将密码检入仓库，则对仓库具有读取权限的任何人都可以使用该密码以您的权限访问外部服务。 建议将密码存储在项目仓库外部专用的安全位置。

秘密扫描 将在 GitHub 仓库中存在的所有分支上扫描整个 Git 历史记录，以查找任何密钥。 服务提供商可与 GitHub 合作提供其用于扫描的密码格式。 更多信息请参阅“密码扫描合作伙伴计划”。

如果有人将使用已知模式的密码检入 GitHub 上的公共或私有仓库，则 秘密扫描 在该密码检入时可以捕获它，帮助您减小密码泄露的影响。 仓库管理员会收到包含密码的任何提交的通知， 然后他们可以快速查看仓库安全选项卡中所有检测到的密码。

关于公共仓库的 秘密扫描

秘密扫描 自动对公共仓库启用。 当您推送到公共仓库时，GitHub 会扫描提交的内容中是否有密码。 如果将私有仓库切换到公共仓库，GitHub 会扫描整个仓库中的密码。

当 秘密扫描 检测一组凭据时，我们会通知发布密码的服务提供商。 服务提供商会验证该凭据，然后决定是否应撤销密钥、颁发新密钥或直接与您联系，具体取决于与您或服务提供商相关的风险。 有关如何使用令牌颁发合作伙伴的概述，请参阅“密码扫描合作伙伴计划”。

GitHub 当前会扫描公共仓库，查找以下服务提供商发布的密码。

合作伙伴	支持的密钥
Adafruit IO	Adafruit IO 密钥
Adobe	Adobe 设备令牌
Adobe	Adobe 服务令牌
Adobe	Adobe 短暂访问令牌
Adobe	Adobe JSON Web 令牌
Alibaba Cloud	Alibaba 云端访问密钥 ID 和访问密钥对
Amazon Web Services (AWS)	Amazon AWS 访问密钥 ID 和秘密访问密钥对
Atlassian	Atlassian API 令牌
Atlassian	Atlassian JSON Web 令牌
Azure	Azure DevOps 个人访问令牌
Azure	Azure SAS 令牌
Azure	Azure 服务管理证书
Azure	Azure SQL 连接字符串
Azure	Azure 存储账户密钥
Clojars	Clojars 部署令牌
CloudBees CodeShip	CloudBees CodeShip 凭据
Databricks	Databricks 访问令牌
Datadog	Datadog API 密钥
Discord	Discord 自动程序令牌
Doppler	Doppler 个人令牌
Doppler	Doppler 服务令牌
Doppler	Doppler CLI 令牌
Doppler	Doppler SCIM 令牌
Dropbox	Dropbox 访问令牌
Dropbox	Dropbox 短暂访问令牌
Dynatrace	Dynatrace 访问令牌
Dynatrace	Dynatrace 内部令牌
Finicity	Finicity App 密钥
Frame.io	Frame.io JSON Web 令牌
Frame.io	Frame.io Developer 令牌
GitHub	GitHub 个人访问令牌
GitHub	GitHub OAuth 访问令牌
GitHub	GitHub 刷新令牌
GitHub	GitHub App 安装访问令牌
GitHub	GitHub SSH 私钥
GoCardless	GoCardless 实时访问令牌
GoCardless	GoCardless Sandbox 访问令牌
Google Cloud	Google API 密钥
Google Cloud	Google Cloud 私钥 ID
Hashicorp Terraform	Terraform Cloud / Enterprise API 令牌
Hubspot	Hubspot API 密钥
Mailchimp	Mailchimp API 密钥
Mailchimp	Mandril API 密钥
Mailgun	Mailgun API 密钥
MessageBird	MessageBird API 密钥
npm	npm 访问令牌
NuGet	NuGet API 密钥
OpenAI	OpenAI API 密钥
Palantir	Palantir JSON Web 令牌
Plivo	Plivo 验证令牌
Postman	Postman API 密钥
Proctorio	Proctorio 消费者密钥
Proctorio	Proctorio 链接密钥
Proctorio	Proctorio 注册密钥
Proctorio	Proctorio 密钥
Pulumi	Pulumi 访问令牌
PyPI	PyPI API 令牌
RubyGems	RubyGems API 密钥
Samsara	Samsara API 令牌
Samsara	Samsara OAuth 访问令牌
SendGrid	SendGrid API Key
Shopify	Shopify App 共享密钥
Shopify	Shopify 访问令牌
Shopify	Shopify 自定义应用访问令牌
Shopify	Shopify 私人应用密码
Slack	Slack API 令牌
Slack	Slack 传入 web 挂钩 URL
Slack	Slack 工作流程 web 挂钩 URL
SSLMate	SSLMate API 密钥
SSLMate	SSLMate 集群密钥
Stripe	Stripe Live API 密钥
Stripe	Stripe 测试 API 密钥
Stripe	Stripe Live API 限制密钥
Stripe	Stripe 测试 API 限制密钥
Tencent Cloud	腾讯云密钥 ID
Twilio	Twilio 帐户字符串标识符
Twilio	Twilio API 密钥
Valour	Valour 访问令牌

关于私有仓库的 秘密扫描

如果您是仓库管理员或组织所有者，您可以为组织拥有的私有仓库启用 秘密扫描。 您可以对您的所有仓库或您组织内的所有新仓库启用 秘密扫描。秘密扫描 不适用于用户拥有的私有仓库。更多信息请参阅“管理仓库的安全和分析设置”和“管理组织的安全和分析设置”。

您也可以定义只应用到您的仓库或组织的自定义 秘密扫描 模式。 更多信息请参阅“定义 秘密扫描 的自定义模式”。

将提交推送到启用了 秘密扫描 的私有仓库时，GitHub 会扫描提交的内容中是否有密码。

当 秘密扫描 在私有仓库中检测到密码时，GitHub 会生成警报。

• GitHub 向仓库管理员和组织所有者发送电子邮件警报。

• GitHub 向提交机密到仓库的贡献者发送电子邮件警报，其中包括指向相关 秘密扫描 警报的链接。 然后，提交作者可以在仓库中查看警报，然后解决警报。

• GitHub 显示仓库中的警报。

有关查看和解析 秘密扫描 警报的详细信息，请参阅“管理来自 秘密扫描 的警报”。

仓库管理员和组织所有者可以授权用户和团队访问 秘密扫描 警报。 更多信息请参阅“管理仓库的安全和分析设置”。

要监控来自私有仓库或组织中的 秘密扫描 的结果，可以使用 秘密扫描 API。 有关 API 端点的更多信息，请参阅“秘密扫描”。

GitHub 目前扫描私有仓库，以检查由以下服务提供者颁发的密码。

合作伙伴	支持的密钥	API slug
Adafruit IO	Adafruit IO Key	adafruit_io_key
Adobe	Adobe Device Token	adobe_device_token
Adobe	Adobe Service Token	adobe_service_token
Adobe	Adobe Short-Lived Access Token	adobe_short_lived_access_token
Adobe	Adobe JSON Web Token	adobe_jwt
Alibaba Cloud	Alibaba Cloud Access Key ID	alibaba_cloud_access_key_id
Alibaba Cloud	Alibaba Cloud Access Key Secret	alibaba_cloud_access_key_secret
Amazon Web Services (AWS)	Amazon AWS Access Key ID	aws_access_key_id
Amazon Web Services (AWS)	Amazon AWS Secret Access Key	aws_secret_access_key
Asana	Asana Personal Access Token	asana_personal_access_token
Atlassian	Atlassian API Token	atlassian_api_token
Atlassian	Atlassian JSON Web Token	atlassian_jwt
Atlassian	Bitbucket Server Personal Access Token	bitbucket_server_personal_access_token
Azure	Azure DevOps Personal Access Token	azure_devops_personal_access_token
Azure	Azure SAS Token	azure_sas_token
Azure	Azure Service Management Certificate	azure_management_certificate
Azure	Azure SQL Connection String	azure_sql_connection_string
Azure	Azure Storage Account Key	azure_storage_account_key
Clojars	Clojars Deploy Token	clojars_deploy_token
CloudBees CodeShip	CloudBees CodeShip Credential	codeship_credential
Databricks	Databricks Access Token	databricks_access_token
Discord	Discord Bot Token	discord_bot_token
Doppler	Doppler Personal Token	doppler_personal_token
Doppler	Doppler Service Token	doppler_service_token
Doppler	Doppler CLI Token	doppler_cli_token
Doppler	Doppler SCIM Token	doppler_scim_token
Dropbox	Dropbox Access Token	dropbox_access_token
Dropbox	Dropbox Short Lived Access Token	dropbox_short_lived_access_token
Dynatrace	Dynatrace Access Token	dynatrace_access_token
Dynatrace	Dynatrace Internal Token	dynatrace_internal_token
EasyPost	EasyPost Production API Key	easypost_production_api_key
EasyPost	EasyPost Test API Key	easypost_test_api_key
Facebook	Facebook Access Token	facebook_access_token
Fastly	Fastly API Token	fastly_api_token
Finicity	Finicity App Key	finicity_app_key
Frame.io	Frame.io JSON Web Token	frameio_jwt
Frame.io	Frame.io Developer Token	frameio_developer_token
GitHub	GitHub Personal Access Token	github_personal_access_token
GitHub	GitHub OAuth Access Token	github_oauth_access_token
GitHub	GitHub Refresh Token	github_refresh_token
GitHub	GitHub App Installation Access Token	github_app_installation_access_token
GitHub	GitHub SSH Private Key	github_ssh_private_key
GoCardless	GoCardless Live Access Token	gocardless_live_access_token
GoCardless	GoCardless Sandbox Access Token	gocardless_sandbox_access_token
Google Cloud	Google API Key	google_api_key
Google Cloud	Google Cloud Private Key ID	google_cloud_private_key_id
Grafana	Grafana API Key	grafana_api_key
Hashicorp Terraform	Terraform Cloud / Enterprise API Token	terraform_api_token
Hubspot	Hubspot API Key	hubspot_api_key
Intercom	Intercom Access Token	intercom_access_token
Lob	Lob Live API Key	lob_live_api_key
Lob	Lob Test API Key	lob_test_api_key
Mailchimp	Mailchimp API Key	mailchimp_api_key
Mailgun	Mailgun API Key	mailgun_api_key
MessageBird	MessageBird API Key	messagebird_api_key
npm	npm Access Token	npm_access_token
NuGet	NuGet API Key	nuget_api_key
Onfido	Onfido Live API Token	onfido_live_api_token
Onfido	Onfido Sandbox API Token	onfido_sandbox_api_token
OpenAI	OpenAI API Key	openai_api_key
Palantir	Palantir JSON Web Token	palantir_jwt
Postman	Postman API Key	postman_api_key
Proctorio	Proctorio Consumer Key	proctorio_consumer_key
Proctorio	Proctorio Linkage Key	proctorio_linkage_key
Proctorio	Proctorio Registration Key	proctorio_registration_key
Proctorio	Proctorio Secret Key	proctorio_secret_key
Pulumi	Pulumi Access Token	pulumi_access_token
PyPI	PyPI API Token	pypi_api_token
RubyGems	RubyGems API Key	rubygems_api_key
Samsara	Samsara API Token	samsara_api_token
Samsara	Samsara OAuth Access Token	samsara_oauth_access_token
SendGrid	SendGrid API Key	sendgrid_api_key
Shippo	Shippo Live API Token	shippo_live_api_token
Shippo	Shippo Test API Token	shippo_test_api_token
Shopify	Shopify App Shared Secret	shopify_app_shared_secret
Shopify	Shopify Access Token	shopify_access_token
Shopify	Shopify Custom App Access Token	shopify_custom_app_access_token
Shopify	Shopify Private App Password	shopify_private_app_password
Slack	Slack API Token	slack_api_token
Slack	Slack Incoming Webhook URL	slack_incoming_webhook_url
Slack	Slack Workflow Webhook URL	slack_workflow_webhook_url
SSLMate	SSLMate API Key	sslmate_api_key
SSLMate	SSLMate Cluster Secret	sslmate_cluster_secret
Stripe	Stripe API Key	stripe_api_key
Stripe	Stripe Live API Secret Key	stripe_live_secret_key
Stripe	Stripe Test API Secret Key	stripe_test_secret_key
Stripe	Stripe Live API Restricted Key	stripe_live_restricted_key
Stripe	Stripe Test API Restricted Key	stripe_test_restricted_key
Stripe	Stripe Webhook Signing Secret	stripe_webhook_signing_secret
Tableau	Tableau Personal Access Token	tableau_personal_access_token
Telegram	Telegram Bot Token	telegram_bot_token
Tencent Cloud	Tencent Cloud Secret ID	tencent_cloud_secret_id
Twilio	Twilio Account String Identifier	twilio_account_sid
Twilio	Twilio API Key	twilio_api_key

延伸阅读

• "保护您的仓库"
• "保护帐户和数据安全"