🟢 🛡️ 安全 发布于: · 2 分钟阅读 ·

GitHub 为企业用户将密钥扫描扩展至整个公共 GitHub 平台

编辑插图:GitHub 密钥扫描和组织泄露凭证的公共监控

GitHub 在 Secret Protection 框架内为企业推出公共监控(public monitoring):实时扫描整个 github.com,将泄露的密钥归属回各组织,并扫描拉取请求评论和 Issues——无需额外付费。

🤖

本文由人工智能基于一手来源生成。

GitHub 于 2026 年 7 月 1 日宣布对其企业用户的密钥扫描系统进行重大扩展:公共监控——实时扫描 github.com 的整个公开平台,并将发现的泄露密钥归属回各组织。该功能向 GitHub Secret Protection 订阅用户免费提供。

这解决了什么问题?

传统的 GitHub 密钥扫描保护的是组织直接拥有的存储库。但密钥(API 密钥、令牌、密码)经常在超出该范围的情境下泄露:员工的个人 fork、工作人员以个人身份参与的开源项目,甚至完全无关存储库中 Issues 和拉取请求的评论。

这正是视觉盲点所在:组织不知道某位员工的工作 API 密钥出现在 GitHub 某处的公开评论中——直到恶意行为者在其之前发现。

公共监控如何运作

新功能扫描 git 内容、拉取请求评论和 GitHub Issues——即平台上所有公开可见的内容,而不仅仅是组织的主要存储库。当系统检测到密钥时,需要将其归属到某个组织。为此使用了两种方法

基于成员的归属是否足够可靠?

基于成员的归属通过检查提交内容的 GitHub 账户是否为企业组织的注册成员来运作。如 GitHub 所述,这涵盖「托管账户和已知成员」。该方法精确,但有局限:无法捕获以未与组织关联的私人账户在 GitHub 上活动的员工。

这就是第二种方法的用武之地:经过验证的域名匹配。系统将提交者的电子邮件地址与组织在 GitHub 设置中验证过的域名进行比较。如果员工从个人 GitHub 账户使用工作电子邮件地址提交,发现结果仍会归属到组织——即使没有正式的成员关联。每个发现显示使用了哪种方法、密钥类型、公共位置和提交者信息。

无需配置,无需等待

设置极为简洁:企业所有者和安全管理员通过组织设置中的 Security 标签启用该功能。无需额外配置——激活后立即可见最近泄露的发现,并开始持续监控。GitHub 不需要安装额外工具或与外部系统集成。

无需额外付费

这是关键点:公共监控已包含在现有 GitHub Secret Protection 订阅中,无需额外付费。对于已使用 Secret Protection 的组织,这是在不改变成本的情况下扩大覆盖范围的升级。

对安全团队的意义

对于安全和 DevSecOps 团队而言,这一变化填补了可见性的具体空白。组织不再是被动发现——当用户或外部研究人员报告问题时——而是获得主动监控,追踪整个平台的公开平台。

特别有价值的是对非正式关联账户也有效的归属功能。忘记在私人 GitHub 个人资料中使用了工作电子邮件的员工,若在个人项目中意外提交了密钥,将不再处于雷达盲区之外。组织会实时获得发现,并附有清晰标记的检测方法和所有快速响应所需的元数据。

对于在受监管行业运营或处理敏感客户数据的组织而言,这种覆盖程度越来越不是「锦上添花」,而是成为标准最低要求。

常见问题

GitHub 企业密钥扫描的具体新增内容是什么?
GitHub 现在监控整个 github.com 公开平台——包括 git 内容、拉取请求评论和 GitHub Issues——并通过两种机制实时将发现的密钥归属回企业组织:基于成员的归属和经过验证的域名匹配。
GitHub 如何知道泄露的密钥属于哪个组织?
使用两种方法:基于成员(提交者的 GitHub 账户是企业的注册成员)和经过验证的域名匹配(提交者的电子邮件与组织已验证的域名匹配,即使账户未正式关联到企业)。
这项新功能收费多少?
无需额外付费——已包含在现有 GitHub Secret Protection 订阅中。