Сканирование секретов в репозитории SourceCraft

Сканирование секретов — инструмент, с помощью которого каждый коммит в истории репозитория проверяется на наличие чувствительных данных в коде: ключей API, токенов, сертификатов и других секретов.

Чтобы посмотреть обнаруженные в репозитории секреты:

1. Откройте главную страницу SourceCraft.

2. На вкладке Домой перейдите в раздел Репозитории и выберите репозиторий.

3. На странице репозитория в разделе Безопасность перейдите в секцию Сканирование секретов.

   В списке секретов отображается дата последнего обнаружения.

   Чтобы скачать файл SARIF (Static Analysis Results Interchange Format) для аудита или интеграции с внешними системами, нажмите кнопку Загрузить SARIF.

4. Чтобы посмотреть информацию о конкретном инциденте, выберите его в списке.

   Для каждого найденного секрета отображается следующая информация:

   • Тип секрета.
   • Идентификатор коммита и время последнего обнаружения.
   • Путь к файлу и фрагмент кода, в котором обнаружен секрет.
   • Статус инцидента — Открыт или Решён.
   • Отметка о ложном срабатывании (если было отмечено).

   В блоке Активность отображается хронология событий по конкретному обнаруженному в репозитории секрету: когда предупреждение было открыто, кем и когда было отмечено как решенное или открыто повторно.

5. Чтобы отметить инцидент как решенный:

   1. Напротив нужного инцидента нажмите Решён.
   2. Введите комментарий к инциденту.
   3. (опционально) Отметьте инцидент как ложное срабатывание.
   4. Нажмите Решить.

6. Чтобы повторно открыть инцидент, напротив нужного инцидента нажмите Переоткрыть.

См. также

• Безопасность в SourceCraft
• Анализ уязвимостей в зависимостях репозитория SourceCraft