Skip to main content

Sobre a varredura de segredos para parceiros

Quando a secret scanning detecta detalhes de autenticação para um provedor de serviços em um repositório público no GitHub, um alerta é enviado diretamente ao provedor. Isso permite que os provedores de serviços parceiros do GitHub tomem medidas imediatas para proteger seus sistemas.

Quem pode usar esse recurso?

O Alertas de verificação de segredo para parceiros é executado por padrão nos seguintes repositórios:

  • Repositórios públicos e pacotes npm públicos no GitHub.

Sobre os alertas de verificação de segredo para parceiros

Atualmente, o GitHub verifica os repositórios públicos e pacotes npm públicos em busca de segredos emitidos por provedores de serviços específicos que se juntaram a nosso programa de parceria e alerta o provedor de serviços relevante sempre que um segredo é detectado em um commit. O prestador do serviço irá validar a string e, em seguida, decidirá se deve revogar o segredo, emitir um novo segredo ou entrar em contato com você diretamente. A sua ação dependerá dos riscos que associados a você ou a eles. Para saber mais sobre nosso programa de parceiros, confira "Programa de verificação de segredo de parceiros".

Note

Não é possível alterar a configuração da secret scanning para padrões de parceiros em repositórios públicos.

O motivo pelo qual os alertas de parceiros são enviados diretamente aos provedores de segredos sempre que um vazamento é detectado para um de seus segredos é que isso permite que o provedor tome medidas imediatas para proteger você e os próprios recursos. O processo de notificação para alertas regulares é diferente. Os alertas regulares são exibidos na guia Segurança do repositório no GitHub para você resolver.

Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. Isso garante que os vazamentos mais críticos não estejam ocultos por trás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.

Quais são os segredos aceitos

Para obter informações sobre os segredos e provedores de serviços compatíveis com a proteção de push, confira Padrões de varredura de segredos com suporte.

Leitura adicional