Help us learn about your current experience with the documentation. Take the survey.
客户端密钥检测
- 层级:免费版、高级版、旗舰版
- 提供版本:GitLab.com、GitLab 自托管版、GitLab 专用版
当您创建 issue、为 merge request 添加描述或撰写评论时,可能会意外泄露密钥。例如,您可能会粘贴包含认证令牌的 API 请求详情或环境变量。如果密钥泄露,攻击者可以利用它来冒充合法用户。
客户端密钥检测有助于降低意外泄露密钥的风险。当您编辑描述或在 issue 或 merge request 中撰写评论时,GitLab 会自动扫描内容中的密钥。
密钥检测工作流程
客户端密钥检测完全在浏览器内使用模式匹配运行。这种方法确保:
- 密钥在提交到 GitLab 之前被检测到。
- 检测过程中不会传输任何敏感信息。
- 该功能无需额外配置即可无缝运行。
开始使用
客户端密钥检测默认为所有 GitLab 层级启用。无需设置或配置。
要测试此功能:
- 导航到任何 issue 或 merge request
- 添加包含测试密钥模式的评论,例如
glpat-xxxxxxxxxxxxxxxxxxxx - 在提交前观察出现的警告消息
测试时始终使用占位符值,以避免暴露真实密钥。
覆盖范围
客户端密钥检测分析以下内容:
- Issue 描述和评论
- Merge request 描述和评论
有关检测到的密钥类型的详细信息,请参阅已检测密钥文档。
理解检测结果
当客户端密钥检测识别到潜在密钥时,GitLab 会显示一个警告,突出显示检测到的密钥。 您可以选择:
- 编辑评论或描述的内容以移除密钥。
- 添加内容而不进行任何更改。在添加包含潜在密钥的内容前请谨慎操作。
检测完全在您的浏览器中进行。除非您选择添加,否则不会传输任何信息。
优化建议
为了最大化客户端密钥检测的有效性:
- 仔细审查警告。在继续操作前始终调查被标记的内容。
- 使用占位符。将实际密钥替换为
[REDACTED]或<API_KEY>之类的占位符文本。