Modül 2 · Secret Scanning · ⏱ 10 dakika

Validity check ve partner programı

Validity check and partner program

Bu derste neler öğreneceksin

  • Validity check'in ne yaptığını ve hangi partner'lar için çalıştığını anlamak
  • Token geçerlilik durumlarını (active, inactive, unknown) bilmek
  • Partner programının alert önceliklendirmeye etkisini kavramak
  • Custom validity check endpoint kurulumunu öğrenmek

Validity check nedir?

Validity check, bulunan secret’ın hâlâ aktif (geçerli) olup olmadığını gerçek zamanlı olarak doğrular. GitHub, ilgili sağlayıcının API’sine sorgu atar ve token’ın durumunu öğrenir.

Alert oluştu

GitHub → Partner API → "Bu token hâlâ aktif mi?"

  active / inactive / unknown

Alert severity güncellenir

Token durumları

DurumAnlamıÖncelik
activeToken geçerli, aktif tehditYüksek — hemen müdahale
inactiveToken revoke edilmiş / süresi dolmuşDüşük — bilgi amaçlı
unknownSağlayıcı validity check desteklemiyorNormal

Partner program kapsamı (2026)

GitHub’ın partner programına dahil olmuş sağlayıcılar:

  • AWS, Azure, Google Cloud
  • Stripe, Twilio, Slack, Discord
  • GitHub (kendi token’ları)
  • npm, PyPI
  • 100’den fazla toplam partner

Partner entegrasyonu iki yönde çalışır:

  1. GitHub, partner’a “bu token’ı bulduk” diye bildirir
  2. Partner token’ı otomatik revoke edebilir veya uyarı gönderebilir

Custom validity check (2025 GA)

GHAS artık custom validity check endpoint’i destekler. Bu, partner programında olmayan internal token’lar için organizasyonun kendi doğrulama servisini bağlamasını sağlar.

# Org → Settings → Security → Secret scanning
# Custom validity URL ekle
custom_validity_url: "https://api.internal.myco.com/validate-token"

Endpoint, {"token": "...", "type": "..."} biçiminde POST alır ve {"valid": true/false} döndürür.

Validity check’i etkinleştirme

Org → Settings → Security → Code security and analysis
  → Secret scanning → Validity checks → Enable

Varsayılan olarak kapalıdır; etkinleştirilmesi gerekir.

Sınavda validity check soruları

  • “Alert önceliklendirmeyi otomatikleştirmek istiyoruz” → validity check etkinleştir
  • “Aktif olmayan secret’lar çok zaman harcıyor” → validity check ile inactive’leri filtrele
  • “Internal API token’larımız için validity check istiyoruz” → custom validity endpoint

Sırada ne var?

Bir sonraki derste tarihsel tarama (historical scanning) ve mevcut commit geçmişindeki secret’ları keşfetmeyi öğreneceğiz.