Sobre os alertas de verificação de segredo para parceiros
Atualmente, o GitHub verifica os repositórios públicos e pacotes npm públicos em busca de segredos emitidos por provedores de serviços específicos que se juntaram a nosso programa de parceria e alerta o provedor de serviços relevante sempre que um segredo é detectado em um commit. O prestador do serviço irá validar a string e, em seguida, decidirá se deve revogar o segredo, emitir um novo segredo ou entrar em contato com você diretamente. A sua ação dependerá dos riscos que associados a você ou a eles. Para saber mais sobre nosso programa de parceiros, confira "Programa de verificação de segredo de parceiros".
Note
Não é possível alterar a configuração da secret scanning para padrões de parceiros em repositórios públicos.
O motivo pelo qual os alertas de parceiros são enviados diretamente aos provedores de segredos sempre que um vazamento é detectado para um de seus segredos é que isso permite que o provedor tome medidas imediatas para proteger você e os próprios recursos. O processo de notificação para alertas regulares é diferente. Os alertas regulares são exibidos na guia Segurança do repositório no GitHub para você resolver.
Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. Isso garante que os vazamentos mais críticos não estejam ocultos por trás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.
Quais são os segredos aceitos
Para obter informações sobre os segredos e provedores de serviços compatíveis com a proteção de push, confira Padrões de varredura de segredos com suporte.