维度网讯，GitHub与微软安全与AI的Agents Offense团队（Microsoft Security & AI’s Agents Offense team）合作，应用Agentic Secret Finder的验证方法，将更多上下文推理引入GitHub的秘密扫描验证中。该方法结合了GitHub的大规模检测流水线与基于LLM的上下文验证，最终将误报率降低75.76%，超出此前设定的65%目标。在评估中，该团队基于1500个客户确认的误报警报对方法进行了测试。在GitHub庞大的代码库规模下，秘密扫描警报的误报问题长期困扰开发者，过多低价值警报削弱了系统的可信度。

传统的基于模式匹配的检测虽能识别出类似秘密的字符串，但难以区分真实暴露与仅看起来敏感的值。为了应对这一挑战，团队没有简单地增加分析数据量，而是聚焦于提取一小部分高信号信息。例如，系统查找值被赋值给变量后是否传入API请求、认证头、数据库客户端或云SDK调用。研究发现，大多数误报仅通过聚焦的文件级上下文即可解决，而传递整个文件或仓库会引入过多噪音并增加成本和延迟。这种“更好的上下文”而非“更多的上下文”策略，使系统能更有效地区分真实秘密与测试数据或占位符。

该方法直接基于GitHub已有的秘密扫描系统构建，在不更改上游检测逻辑或降低覆盖范围的前提下，增强了验证步骤的上下文感知能力。GitHub秘密扫描原本结合了基于模式的检测和AI驱动的通用秘密检测，覆盖数千万开发者在数百万个仓库中的数十亿次推送。此次合作旨在将AI检测到的秘密的精度提升到与提供者模式检测相同的高标准。

这一改进直接体现在开发者体验上。不相关的警报减少使得开发者能更快地优先处理和修复真正的问题。目前，GitHub正在更大的数据集和实时流量上继续评估这一方法，并进一步优化上下文提取与验证流程。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com