GitHub 周一宣布，它为 GitHub Advanced Security 客户扩展了其代码托管平台的机密扫描功能，以自动阻止机密泄漏。

秘密扫描是一种高级安全选项，使用具有 GitHub 高级安全许可证的 GitHub Enterprise Cloud 的组织可以启用额外的存储库扫描。

它通过匹配由组织定义或由合作伙伴和服务提供商提供的模式来工作。每个匹配项都在存储库的安全选项卡中报告为安全警报，如果匹配合作伙伴模式，则报告给合作伙伴。

自动阻止意外机密泄露
新功能称为推送保护，旨在防止在将代码提交到远程存储库之前意外暴露凭据。

这项新功能将秘密扫描嵌入到开发人员的工作流程中，它 适用于 69 种令牌类型 （API 密钥、身份验证令牌、访问令牌、管理证书、凭证、私钥、密钥等），可检测到低“误报” “ 检测率。

“通过推送保护，GitHub 将在开发人员推送代码时检查高度可信的机密，并在发现机密时阻止推送，”GitHub表示。

“为了在不影响开发效率的情况下实现这一点，推送保护仅支持可以准确检测的令牌类型。”

如果 GitHub Enterprise Cloud 在推送代码之前识别出机密，则 git push 会被阻止，以允许开发人员查看并从他们尝试推送到远程存储库的代码中删除机密。

开发人员还可以将这些安全警报标记为误报、测试用例，或将它们标记为稍后修复。

如何启用秘密扫描推送保护
拥有 GitHub Advanced Security 的组织可以通过 API 或从用户界面一键在存储库和组织级别启用秘密扫描推送保护功能。

为您的组织启用推送保护的详细过程要求您：
在 GitHub.com 上，导航到组织的主页。
在您的组织名称下，单击 设置。
在侧边栏的“安全”部分，点击 代码安全和分析。
在“代码安全和分析”下，找到“GitHub 高级安全”。
在“推送保护”下的“秘密扫描”下，单击 全部启用。
或者，单击“自动启用添加到秘密扫描的私有存储库”。
您还可以通过从 repo 的 Settings > Security & analysis > GitHub Advanced Security 对话框打开它来为单个存储库启用它。

启用 GitHub 秘密扫描推送保护 (GitHub)
您可以从此处找到有关秘密扫描功能的更多信息，以及有关如何从命令行使用推送保护或允许从此处推送某些秘密的更多详细信息。

“迄今为止，GitHub 已经使用 GitHub Advanced Security 的秘密扫描在数千个私有存储库中检测到超过 700,000 个秘密；GitHub 还扫描所有公共存储库中的合作伙伴模式（免费），”GitHub 补充道。

“今天，我们正在为 GitHub 高级安全客户添加选项，以通过在 git push 被接受之前扫描机密来完全防止泄漏发生。”

正如 BleepingComputer 先前报道的 [ 1 , 2 , 3 ]，暴露的凭据和机密已导致高影响力的违规行为。

因此，在提交代码之前启用自动机密扫描将使组织更接近于保护自己免受意外泄漏和提高供应链安全性。