Habilitando recursos de varredura secreta
Saiba como habilitar a secret scanning para detectar segredos que já estão visíveis em um repositório, bem como a proteção contra push para proteger você proativamente contra o vazamento de segredos adicionais ao bloquear pushes que contêm segredos.
Quem pode usar esse recurso?
Os Alertas de verificação de segredo para parceiros são executados automaticamente em repositórios públicos e pacotes npm públicos para notificar os provedores de serviço sobre os segredos vazados do GitHub.
As Alertas de verificação de segredo para usuários estão disponíveis gratuitamente para todos os repositórios públicos.de propriedade do usuário. As organizações que usam o GitHub Enterprise Cloud com uma licença do GitHub Advanced Security também podem habilitar alertas de verificação de segredo para usuários em seus repositórios privados e internos. Além disso, os alertas de verificação de segredo para usuários estão disponíveis e em versão beta em repositórios de propriedade do usuário para o GitHub Enterprise Cloud com Enterprise Managed Users. Para obter mais informações, confira "Sobre alertas secretos de verificação" e "Sobre a Segurança Avançada do GitHub".
Para obter informações sobre como é possível testar o GitHub Advanced Security de forma gratuita, confira “Como configurar uma avaliação gratuita do GitHub Advanced Security”.
Habilitando a varredura de segredos para seu repositório
Você pode configurar como o GitHub verifica seus repositórios em busca de segredos vazados e alertas gerados.
Habilitar a proteção de push para seu repositório
Com a proteção de push, o secret scanning bloqueia os colaboradores de enviar segredos para um repositório e gera um alerta sempre que um colaborador ignora o bloqueio.
Habilitar verificações de validade para seu repositório
Habilitar as verificações de validade em seu repositório ajuda a priorizar a correção de alertas, pois informa se um segredo está ativo ou inativo.