Habilitar verificações de validade para seu repositório

Habilitar as verificações de validade em seu repositório ajuda a priorizar a correção de alertas, pois informa se um segredo está ativo ou inativo.

Quem pode usar esse recurso?

As verificações de validade para padrões de parceiros estão disponíveis em todos os tipos de repositórios no GitHub. Para usar esse recurso, você deve ter uma licença para GitHub Advanced Security.

Neste artigo

Sobre as verificações de validade

Você pode habilitar verificações de validade para segredos identificados como tokens de provedor de serviços para seu repositório. Uma vez habilitadas, o GitHub fará verificações periódicas da validade de uma credencial detectada enviando o segredo diretamente ao provedor, como parte do programa de parceria de verificação de segredo do GitHub. Para saber mais sobre nosso programa de parceiros, confira "Programa de verificação de segredo de parceiros".

O GitHub exibe o status de validação do segredo na exibição de alertas para que você possa ver se o segredo está active ou inactive ou se o status da validação é unknown. Opcionalmente, você pode executar uma verificação de validade "sob demanda" para o segredo na exibição de alerta.

Além disso, você pode optar por habilitar as verificações de validade para encontrar padrões de parceiros. Uma vez habilitado, o GitHub fará verificações periódicas da validade de uma credencial detectada enviando o segredo diretamente ao provedor, como parte do programa de parceria de verificação de segredo formal do GitHub. O GitHub normalmente faz solicitações GET para verificar a validade da credencial, seleciona os pontos de extremidade menos intrusivos e os que não retornam informações pessoais.

O GitHub exibe o status de validação do segredo na exibição de alertas.

Você pode filtrar por status de validação na página de alertas para ajudar a priorizar em quais alertas você precisa agir.

Note

O GitHub normalmente faz solicitações GET para verificar a validade da credencial, seleciona os pontos de extremidade menos intrusivos e os que não retornam informações pessoais.

Para obter mais informações sobre verificações de validade, consulte "Avaliando alertas da verificação de segredos".

Habilitando verificações de validade

  1. No GitHub.com, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

  4. Em Secret scanning, marque a caixa de seleção ao lado da opção "Verificar automaticamente se um segredo é válido enviando-o ao parceiro relevante".

Também é possível usar a API REST para habilitar verificações de validade para padrões de parceiros para seu repositório. Para obter mais informações, consulte "Pontos de extremidade da API REST para repositórios".

Como alternativa, os proprietários e administradores da organização podem habilitar o recurso para todos os repositórios nas configurações da organização ou da empresa. Para obter mais informações sobre como habilitar nível da organização, confira "Criando uma configuração de segurança personalizada". Para obter mais informações sobre como habilitar no nível empresarial, consulte "AUTOTITLE" e "Pontos de extremidade da API REST para segurança e análise de código corporativo".

Leitura adicional