什么是敏感信息检测?敏感信息检测,敏感信息检测功能,可以检测代码库中的敏感凭证和密钥,比如 API keys 等信息。集成在合并请求代码评审阶段,可以有效防止敏感信息意外提交。
安全模块提供敏感信息检测结果汇总及查阅服务,
敏感信息检测问题等级分为:BLOCKER, CRITICAL, MAJOR
BLOCKER: 通过规则扫描出来的可能性很高的明文问题 ;
CRITICAL: 通过信息熵模型得出的可能性较高的潜在问题;
MAJOR: 用于测试的敏感信息字段;
开启或关闭扫描
代码库管理员角色有权限开启或关闭扫描。
开启扫描
-
在 「设置」- 「集成与服务」中开启
开启或关闭扫描 -
弹出的 「用户承诺书」窗口中,阅读并勾选 「我已阅读相关协议并确认开通服务」,然后点击「确认」
3. 选择触发扫描的时机
• 代码提交触发扫描:代码提交即git push后触发扫描
• 合并请求触发扫描:合并请求事件触发扫描,即创建合并请求、合并请求更新触发扫描