Corrigir alertas
Uma vez que um segredo tenha sido committed a um repositório, você deve considerar o segredo comprometido. O GitHub recomenda as seguintes ações para segredos comprometidos:
- Para um GitHub personal access token comprometido, exclua o token comprometido, crie um novo token e atualize qualquer serviço que usa o token antigo. Para obter mais informações, confira "Gerenciar seus tokens de acesso pessoal".
- Para todos os outros segredos, primeiro, verifique se o segredo confirmado no GitHub é válido. Nesse caso, crie um segredo, atualize todos os serviços que usam o segredo antigo e, em seguida, exclua o segredo antigo.
Note
Se um segredo for detectado em um repositório público no GitHub e o segredo também corresponder a um padrão de parceiros, um alerta será gerado e o segredo potencial será relatado ao provedor de serviços. Para mais detalhes sobre os padrões dos parceiros, confira "Padrões de varredura de segredos com suporte".
Alertas de fechamento
Note
Secret scanning não fecha automaticamente os alertas quando o token correspondente é removido do repositório. É necessário fechar manualmente esses alertas na lista de alertas no GitHub.
-
No GitHub.com, navegue até a página principal do repositório.
-
Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.
-
Na barra lateral esquerda, em "Alertas de vulnerabilidades", clique em Secret scanning .
-
Em "Secret scanning", clique no alerta que você deseja exibir.
-
Para ignorar um alerta, selecione o menu suspenso "Fechar como" e clique em um motivo para resolver um alerta.
-
Opcionalmente, no campo "Comentário", adicione um comentário de ignorar. O comentário de ignorar será adicionado à linha do tempo do alerta e pode ser usado como justificativa em auditorias e relatórios. Você pode exibir o histórico de todos os alertas ignorados e comentários de demissão na linha do tempo do alerta. Você também pode recuperar ou definir um comentário usando a API do Secret scanning. O comentário está contido no campo
resolution_comment
. Para obter mais informações, confira "Pontos de extremidade da API REST para verificação de segredos" na documentação da API REST. -
Clique em Fechar alerta.