Validity check ve partner programı
Validity check and partner program
Bu derste neler öğreneceksin
- Validity check'in ne yaptığını ve hangi partner'lar için çalıştığını anlamak
- Token geçerlilik durumlarını (active, inactive, unknown) bilmek
- Partner programının alert önceliklendirmeye etkisini kavramak
- Custom validity check endpoint kurulumunu öğrenmek
Validity check nedir?
Validity check, bulunan secret’ın hâlâ aktif (geçerli) olup olmadığını gerçek zamanlı olarak doğrular. GitHub, ilgili sağlayıcının API’sine sorgu atar ve token’ın durumunu öğrenir.
Alert oluştu
↓
GitHub → Partner API → "Bu token hâlâ aktif mi?"
↓
active / inactive / unknown
↓
Alert severity güncellenir
Token durumları
| Durum | Anlamı | Öncelik |
|---|---|---|
active | Token geçerli, aktif tehdit | Yüksek — hemen müdahale |
inactive | Token revoke edilmiş / süresi dolmuş | Düşük — bilgi amaçlı |
unknown | Sağlayıcı validity check desteklemiyor | Normal |
Partner program kapsamı (2026)
GitHub’ın partner programına dahil olmuş sağlayıcılar:
- AWS, Azure, Google Cloud
- Stripe, Twilio, Slack, Discord
- GitHub (kendi token’ları)
- npm, PyPI
- 100’den fazla toplam partner
Partner entegrasyonu iki yönde çalışır:
- GitHub, partner’a “bu token’ı bulduk” diye bildirir
- Partner token’ı otomatik revoke edebilir veya uyarı gönderebilir
Custom validity check (2025 GA)
GHAS artık custom validity check endpoint’i destekler. Bu, partner programında olmayan internal token’lar için organizasyonun kendi doğrulama servisini bağlamasını sağlar.
# Org → Settings → Security → Secret scanning
# Custom validity URL ekle
custom_validity_url: "https://api.internal.myco.com/validate-token"
Endpoint, {"token": "...", "type": "..."} biçiminde POST alır ve
{"valid": true/false} döndürür.
Validity check’i etkinleştirme
Org → Settings → Security → Code security and analysis
→ Secret scanning → Validity checks → Enable
Varsayılan olarak kapalıdır; etkinleştirilmesi gerekir.
Sınavda validity check soruları
- “Alert önceliklendirmeyi otomatikleştirmek istiyoruz” → validity check etkinleştir
- “Aktif olmayan secret’lar çok zaman harcıyor” → validity check ile inactive’leri filtrele
- “Internal API token’larımız için validity check istiyoruz” → custom validity endpoint
Sırada ne var?
Bir sonraki derste tarihsel tarama (historical scanning) ve mevcut commit geçmişindeki secret’ları keşfetmeyi öğreneceğiz.