Sobre alertas secretos de verificação

Saiba mais sobre os diferentes tipos de alertas de verificação de segredo.

Quem pode usar esse recurso?

People with admin access to a repository can manage alertas de verificação de segredo for the repository.

Os Alertas de verificação de segredo para parceiros são executados automaticamente em repositórios públicos e pacotes npm públicos para notificar os provedores de serviço sobre os segredos vazados do GitHub.

As Alertas de verificação de segredo para usuários estão disponíveis gratuitamente para todos os repositórios públicos.de propriedade do usuário. As organizações que usam o GitHub Enterprise Cloud com uma licença do GitHub Advanced Security também podem habilitar alertas de verificação de segredo para usuários em seus repositórios privados e internos. Além disso, os alertas de verificação de segredo para usuários estão disponíveis e em versão beta em repositórios de propriedade do usuário para o GitHub Enterprise Cloud com Enterprise Managed Users. Para obter mais informações, confira "Sobre alertas secretos de verificação" e "Sobre a Segurança Avançada do GitHub".

Para obter informações sobre como é possível testar o GitHub Advanced Security de forma gratuita, confira “Como configurar uma avaliação gratuita do GitHub Advanced Security”.

Neste artigo

Sobre os tipos de alertas

Existem três tipos de alertas de verificação de segredo:

  • Alertas de usuário: relatado aos usuários na guia Segurança do repositório, quando um segredo com suporte é detectado no repositório.
  • Alertas de proteção por push: relatado aos usuários na guia Segurança do repositório, quando um contribuidor contorna a proteção por push.
  • Alertas para parceiro: relatado diretamente aos provedores de segredos que fazem parte do programa de parceiros de secret scanning. Esses alertas não são relatados na guia Segurança do repositório.

Sobre os alertas do usuário

Quando a GitHub detecta um segredo suportado em um repositório que tem a secret scanning habilitada, um alerta do usuário é gerado e exibido na guia Segurança do repositório.

Alertas do usuário do podem ser dos seguintes tipos:

  • Alertas de alta confiança, que se relacionam a padrões com suporte e padrões personalizados especificados.
  • Outros alertas, que têm uma proporção maior de falsos positivos e correspondem a segredos como chaves privadas ou segredos genéricos detectados por IA.

O GitHub exibe esses "outros" alertas em uma lista diferente dos alertas de alta confiança, tornando a triagem uma experiência melhor para os usuários. Para obter mais informações, consulte "Exibindo e filtrando alertas da varredura de segredos".

Notas: A detecção de padrões que não são de provedores está atualmente em versão beta e sujeita a alterações.

Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. Isso garante que os vazamentos mais críticos não estejam ocultos por trás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.

Sobre os alertas de proteção por push

A proteção de push verifica os pushs em busca de segredos compatíveis. Se a proteção de push detectar um segredo compatível, ela bloqueará o push. Quando um colaborador ignora a proteção de push para enviar um segredo para o repositório, um alerta de proteção de push é gerado e exibido na guia Segurança do repositório. Para ver todos os alertas de proteção de push de um repositório, você deve filtrar por bypassed: true na página de alertas. Para obter mais informações, consulte "Exibindo e filtrando alertas da varredura de segredos".

Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. Isso garante que os vazamentos mais críticos não estejam ocultos por trás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.

Note

Você também pode habilitar a proteção de push para sua conta pessoal, conhecida como "proteção de push para usuários", que impede que você envie acidentalmente segredos compatíveis para qualquer repositório público. Os alertas não serão criados se você optar por ignorar apenas a proteção de push baseada no usuário. Os alertas só serão criados se o próprio repositório tiver a proteção de push habilitada. Para obter mais informações, confira "Proteção por push para usuários".

Versões mais antigas de determinados tokens podem não ter suporte da proteção de push, pois esses tokens podem gerar um número maior de falsos positivos do que sua versão mais recente. A proteção de push também pode não se aplicar a tokens herdados. Para tokens como Chaves do Armazenamento do Azure, o GitHub só dá suporte a tokens criados recentemente, não a tokens que correspondem aos padrões herdados. Para obter mais informações sobre limitações de proteção de push, confira "Solução de problemas com a varredura de segredos".

Sobre os alertas de parceiros

Quando a GitHub detecta um segredo vazado em um repositório público ou pacote npm, um alerta é enviado diretamente ao provedor de segredos, caso ele seja parte do programa de parceiros de verificação de segredos da GitHub. Para obter mais informações sobre alertas de verificação de segredo para parceiros, consulte "Programa de verificação de segredo de parceiros" e "Padrões de varredura de segredos com suporte".

Os alertas de parceiros não são enviados aos administradores do repositório, portanto, você não precisa executar nenhuma ação para esse tipo de alerta.

Próximas etapas

Leitura adicional