Sobre alertas secretos de verificação

Saiba mais sobre os diferentes tipos de alertas de verificação de segredo.

Quem pode usar esse recurso?

People with admin access to a repository can manage alertas de verificação de segredo for the repository.

A Secret scanning estará disponível para os repositórios pertencentes a uma organização no GitHub Enterprise Server se a sua empresa tiver uma licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre alertas secretos de verificação" e "Sobre a Segurança Avançada do GitHub".

Neste artigo

Sobre os tipos de alertas

Existem dois tipos de alertas de verificação de segredo:

  • Alertas de verificação de segredo: relatado aos usuários na guia Segurança do repositório, quando um segredo com suporte é detectado no repositório.
  • Alertas de proteção por push: relatado aos usuários na guia Segurança do repositório, quando um contribuidor contorna a proteção por push.

Sobre os alertas de verificação de segredo

Quando a GitHub detecta um segredo suportado em um repositório que tem a secret scanning habilitada, um alerta do secret scanning é gerado e exibido na guia Segurança do repositório.

Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. Isso garante que os vazamentos mais críticos não estejam ocultos por trás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.

Sobre os alertas de proteção por push

A proteção de push verifica os pushs em busca de segredos compatíveis. Se a proteção de push detectar um segredo compatível, ela bloqueará o push. Quando um colaborador ignora a proteção de push para enviar um segredo para o repositório, um alerta de proteção de push é gerado e exibido na guia Segurança do repositório. Para ver todos os alertas de proteção de push de um repositório, você deve filtrar por bypassed: true na página de alertas. Para obter mais informações, consulte "Exibindo e filtrando alertas da varredura de segredos".

Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. Isso garante que os vazamentos mais críticos não estejam ocultos por trás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.

Note

Versões mais antigas de determinados tokens podem não ter suporte da proteção de push, pois esses tokens podem gerar um número maior de falsos positivos do que sua versão mais recente. A proteção de push também pode não se aplicar a tokens herdados. Para tokens como Chaves do Armazenamento do Azure, o GitHub só dá suporte a tokens criados recentemente, não a tokens que correspondem aos padrões herdados. Para obter mais informações sobre limitações de proteção de push, confira "Solução de problemas com a varredura de segredos".

Próximas etapas

Leitura adicional