Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais atualizadas, acesse a documentação em inglês.

Sobre a verificação de segredo

O GitHub verifica repositórios em busca de tipos de segredos conhecidos a fim de impedir o uso fraudulento de segredos que sofreram commit acidentalmente.

Os Secret scanning alerts for partners são executados automaticamente em repositórios públicos em todos os produtos do GitHub.com. A Secret scanning alerts for users estão disponíveis para repositórios públicos, bem como para repositórios pertencentes às organizações que usam o GitHub Enterprise Cloud e têm uma licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre secret scanning alerts for users" e "Sobre a GitHub Advanced Security."

Sobre a secret scanning

Se o seu projeto se comunicar com um serviço externo, você pode usar um token ou uma chave privada para autenticação. Tokens e chaves privadas são exemplos de segredos que um provedor de serviços pode publicar. Se você marcar um segredo em um repositório, qualquer pessoa que tenha acesso de leitura ao repositório pode usar o segredo para acessar o serviço externo com seus privilégios. Recomendamos que você armazene segredos em um local dedicado e seguro fora do repositório do seu projeto.

A Secret scanning verificará todo o histórico do Git em todos os branches presentes no repositório do GitHub em busca de segredos.

O Secret scanning está disponível no GitHub.com em duas formas:

  1. Secret scanning alerts for partners. É executado automaticamente em todos os repositórios públicos. As cadeias de caracteres que correspondem aos padrões fornecidos por parceiros da verificação de segredos são relatadas diretamente ao parceiro relevante. Para obter mais informações, confira a seção "Sobre os secret scanning alerts for partners" abaixo.

  2. Secret scanning alerts for users. Os seguintes usuários podem habilitar e configurar a verificação adicional:

    • Proprietários de repositórios no GitHub.com, em todos os repositórios públicos dos quais são proprietários.
    • Organizações que são proprietárias de repositórios públicos, em qualquer um desses repositórios.
    • As organizações que usam o GitHub Enterprise Cloud com uma licença do GitHub Advanced Security, nos repositórios pertencentes à organização, incluindo repositórios privados e internos.

    Observação: o recurso secret scanning alerts for users está disponível em versão beta para os usuários nos planos GitHub Free, GitHub Pro ou GitHub Team e está sujeito a alterações.

    As cadeias de caracteres que correspondem aos padrões fornecidos por parceiros da verificação de segredos ou por outros provedores de serviços ou definidas por você ou pela sua organização são relatadas como alertas na guia Segurança dos repositórios. Se uma cadeia de caracteres em um repositório público corresponder a um padrão de parceiro, ela também será informada ao parceiro. Para obter mais informações, confira a seção "Sobre os secret scanning alerts for users" abaixo.

Os provedores de serviço podem fazer parceria com o GitHub para fornecer os respectivos formatos de segredo para verificação. Para saber mais sobre nosso programa de parceiros, confira "Programa de parceiros da Secret scanning"

Sobre os secret scanning alerts for partners

Ao tornar público um repositório ou enviar por push de alterações em um repositório público, GitHub sempre digitaliza o código para segredos que correspondem a padrões de parceiros. Se secret scanning detecta um segredo em potencial, notificamos o provedor de serviços que emitiu o segredo. O prestador do serviço irá validar a string e, em seguida, decidirá se deve revogar o segredo, emitir um novo segredo ou entrar em contato com você diretamente. A sua ação dependerá dos riscos que associados a você ou a eles. Para obter mais informações, confira "Segredos compatíveis com os padrões de parceiros".

Não é possível alterar a configuração da secret scanning para padrões de parceiros em repositórios públicos.

Sobre os secret scanning alerts for users

Os Secret scanning alerts for users estão disponíveis em todos os repositórios públicos. Quando você habilita a secret scanning em um repositório, o GitHub verifica o código em busca de padrões que correspondam aos segredos usados por vários provedores de serviços. Quando um segredo com suporte é vazado, o GitHub gera um alerta da secret scanning. Para obter mais informações, confira "Segredos compatíveis com os alertas de usuários".

Se você é administrador do repositório, pode habilitar os secret scanning alerts for users em qualquer repositóriopúblico. Os proprietários da organização também podem habilitar os secret scanning alerts for users em todos os repositórios ou em todos os novos repositórios de uma organização. Para obter mais informações, confira "Como gerenciar as configurações de segurança e análise para seu repositório" e "Como gerenciar as configurações de segurança e análise para sua organização".

O GitHub armazena os segredos detectados usando a criptografia simétrica, tanto em trânsito quanto em repouso.

Como acessar os secret scanning alerts

Quando você habilita secret scanning para um repositório ou envia commits por push a um repositório com a secret scanning habilitada, o GitHub verifica o conteúdo desses commits em busca de segredos que correspondam aos padrões definidos pelos provedores de serviço .

Se secret scanning detectar um segredo, GitHub gera um alerta.

  • O GitHub envia um alerta de email para os administradores do repositório e proprietários da organização. Você receberá um alerta se estiver monitorando o repositório e se tiver ativado notificações para alertas de segurança ou para todas as atividades no repositório.
  • Se o colaborador que cometeu o segredo não estiver ignorando o repositório, GitHub também enviará um alerta por email ao contribuidor. Os emails contêm um link para o alerta secret scanning relacionado. O autor do commit pode visualizar o alerta no repositório e resolver o alerta.
  • GitHub exibe um alerta na guia Segurança do repositório.

Para obter mais informações sobre como ver e resolver os secret scanning alerts, confira "Como gerenciar alertas da secret scanning".

Os administradores do repositório e os proprietários da organização podem permitir acesso aos usuários e às equipes aos secret scanning alerts. Para obter mais informações, confira "Como gerenciar as configurações de segurança e de análise do seu repositório".

Use também a API REST para monitorar os resultados da secret scanning nos seus repositórios. Para obter mais informações sobre pontos de extremidade de API, confira "Secret scanning".

Leitura adicional