我来梳理下你遇到的问题：你通过include: - template: Secret-Detection.gitlab-ci.yml引入官方模板后，在非默认分支上完全看不到密钥检测的步骤，但手动在自己的.gitlab-ci.yml中重写secret_detection的rules后功能恢复正常，而你疑惑为什么明明模板里有相同的规则还要重复配置。

核心原因：GitLab 13.2.3 EE 版本的模板规则限制 #

GitLab 13.2.3属于比较早期的版本，当时的Secret Detection官方模板的默认触发规则和现在的新版本存在差异。你看到的"规则已存在于官方模板"很可能是新版本模板的内容，而非你当前使用的13.2.3版本的模板。

在GitLab 13.2这个阶段，Secret Detection模板的secret_detection job默认规则可能仅针对默认分支（$CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH）或者仅合并请求（MR）触发，并没有包含非默认分支的push场景。也就是说，你当前实例中的模板里其实并没有你以为的if: $CI_COMMIT_BRANCH && $CI_COMMIT_BRANCH != $CI_DEFAULT_BRANCH这条规则——你可能混淆了不同版本的模板文档。

为什么手动添加规则后生效？ #

当你在本地.gitlab-ci.yml中重新定义secret_detection: rules:时，GitLab CI会完全覆盖模板中该job的原有规则，而不是合并。所以你手动添加的规则明确指定了非默认分支的触发条件，自然就能触发检测步骤了。

解决方案 #

1. 升级GitLab版本（推荐）：
   后续的GitLab版本（比如13.12及以上）对Secret Detection的模板规则做了优化，默认包含了更多触发场景（包括非默认分支的push）。升级到较新版本后，你无需手动重写规则，直接include模板就能正常工作。

2. 保留手动规则配置（如果无法升级）：
   如果你暂时无法升级GitLab，继续在本地.gitlab-ci.yml中显式配置secret_detection的rules是最稳妥的方式。你可以根据需要扩展规则，比如同时支持MR、标签等场景：

   include:
     - template: Secret-Detection.gitlab-ci.yml
   
   secret_detection:
     rules:
       - if: $CI_COMMIT_BRANCH && $CI_COMMIT_BRANCH != $CI_DEFAULT_BRANCH
       - if: $CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH
       - if: $CI_MERGE_REQUEST_IID  # 针对合并请求触发
   

3. 验证当前模板的实际内容：
   你可以登录GitLab实例，访问路径/templates/Secret-Detection.gitlab-ci.yml（替换为你的GitLab域名），查看当前版本模板的真实规则，确认是否真的包含非默认分支的触发条件。这能帮你彻底厘清疑惑。

内容的提问来源于stack exchange，提问作者KROM