Exibindo e filtrando alertas da varredura de segredos

Saiba como encontrar e filtrar alertas de verificação de segredo para usuários para seu repositório.

Quem pode usar esse recurso?

People with admin access to a repository can view alertas de verificação de segredo para usuários for the repository.

Os Alertas de verificação de segredo para parceiros são executados automaticamente em repositórios públicos e pacotes npm públicos para notificar os provedores de serviço sobre os segredos vazados do GitHub.

As Alertas de verificação de segredo para usuários estão disponíveis gratuitamente para todos os repositórios públicos.de propriedade do usuário. As organizações que usam o GitHub Enterprise Cloud com uma licença do GitHub Advanced Security também podem habilitar alertas de verificação de segredo para usuários em seus repositórios privados e internos. Além disso, os alertas de verificação de segredo para usuários estão disponíveis e em versão beta em repositórios de propriedade do usuário para o GitHub Enterprise Cloud com Enterprise Managed Users. Para obter mais informações, confira "Sobre alertas secretos de verificação" e "Sobre a Segurança Avançada do GitHub".

Para obter informações sobre como é possível testar o GitHub Advanced Security de forma gratuita, confira “Como configurar uma avaliação gratuita do GitHub Advanced Security”.

Neste artigo

Sobre a página de alertas do secret scanning

Quando você habilita a secret scanning para um repositório ou envia commits por push a um repositório com a secret scanning habilitada, o GitHub verifica o conteúdo em busca de segredos que correspondam aos padrões definidos pelos provedores de serviço e aos padrões personalizados definidos na empresa, na organização ou no repositório.

Quando a secret scanning detectar um segredo, o GitHub gerará um alerta. GitHub exibe um alerta na guia Segurança do repositório.

Para ajudar você a fazer a triagem de alertas com mais eficiência, o GitHub separa os alertas em duas listas:

  • Alertas de alta confiança.
  • Outros alertas.

Captura de tela da exibição de alertas do secret scanning. O botão para alternar entre os alertas de "Alta confiança" e "Outros" está realçado com um contorno laranja.

Lista de alertas de alta confiança

A lista de alertas de "alta confiança" exibe alertas relacionados a padrões compatíveis e padrões personalizados especificados. Essa lista é sempre o modo de exibição padrão da página de alertas.

Lista de outros alertas

A lista de "outros" alertas exibe alertas relacionados a padrões que não são de provedor (como chaves privadas) ou segredos genéricos detectados usando IA (como senhas). Esses tipos de alertas possuem uma taxa maior de falsos positivos.

Além disso, os alertas que se enquadram nessa categoria:

  • São limitados em quantidade a cinco mil alertas por repositório (isso inclui alertas abertos e fechados).
  • Não são mostrados nas exibições de resumo na visão geral de segurança, apenas na exibição "Secret scanning".
  • Têm somente os cinco primeiros locais detectados exibidos no GitHub para padrões que não são de provedor, e somente o primeiro local detectado é exibido para segredos genéricos detectados por IA.

Para que o GitHub verifique padrões que não são de provedor e segredos genéricos, você deve habilitar o recursos para seu repositório ou sua organização. Para obter mais informações, confira "Habilitar a verificação de segredos que não são de provedor" e "Habilitar a detecção de segredos genéricos da plataforma AI".

Exibindo alertas

Os alertas para secret scanning são exibidos na guia Segurança do repositório.

  1. No GitHub.com, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.

  3. Na barra lateral esquerda, em "Alertas de vulnerabilidades", clique em Secret scanning .

  4. Opcionalmente, alterne para "Outro" para ver os alertas para padrões que não são de provedor ou segredos genéricos detectados usando AI.

  5. Em "Secret scanning", clique no alerta que você deseja exibir.

    Note

    Somente pessoas com permissões de administrador para o repositório que contém um segredo vazado podem exibir detalhes de alerta de segurança e metadados de token para um alerta. Os proprietários da empresa podem solicitar acesso temporário ao repositório com essa finalidade.

Filtragem de alertas

Você pode aplicar vários filtros à lista de alertas para ajudar a encontrar os alertas de maior interesse. Você pode usar os menus suspensos acima da lista de alertas ou inserir os qualificadores listados na tabela na barra de pesquisa.

QualificadorDescrição
is:openExibe alertas abertos.
is:closedExibe alertas fechados.
bypassed: trueExibe alertas para segredos em que a proteção por push foi ignorada. Para obter mais informações, confira "Sobre a proteção por push".
validity:activeExibe alertas para segredos reconhecidamente ativos. Para obter mais informações sobre os status de validade, consulte "Avaliando alertas da verificação de segredos".
validity:inactiveExibe alertas para segredos que não estão mais ativos.
validity:unknownExibe alertas para segredos nos quais o status de validade é desconhecido.
secret-type:SECRET-NAMEExibe alertas para um tipo específico de segredo, por exemplo, secret-type:github_personal_access_token. Para obter uma lista dos tipos de segredo compatíveis, confira "Padrões de varredura de segredos com suporte".
provider:PROVIDER-NAMEExibe alertas para um provedor específico, por exemplo, provider:github. Para obter uma lista de parceiros compatíveis, confira "Padrões de varredura de segredos com suporte".
confidence:highExibe alertas para segredos de alta confiança, relacionados a segredos compatíveis e padrões personalizados. Para obter uma lista dos padrões de alta confiança compatíveis, confira "Padrões de varredura de segredos com suporte".
confidence:otherExibe alertas para padrões que não são de provedor, como chaves privadas e segredos genéricos detectados por IA, como senhas. Para obter uma lista de padrões que não são de provedores compatíveis, confira "Padrões de varredura de segredos com suporte". Para obter mais informações sobre segredos genéricos detectados por IA, consulte "Sobre a detecção de segredos genéricos com a varredura secreta".

Próximas etapas