Skip to main content

Exibindo e filtrando alertas da varredura de segredos

Saiba como encontrar e filtrar alertas de verificação de segredo para usuários para seu repositório.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

Sobre a página de alertas do secret scanning

Quando você habilita a secret scanning para um repositório ou envia commits por push a um repositório com a secret scanning habilitada, o GitHub verifica o conteúdo em busca de segredos que correspondam aos padrões definidos pelos provedores de serviço.

Quando a secret scanning detectar um segredo, o GitHub gerará um alerta. GitHub exibe um alerta na guia Segurança do repositório.

Exibindo alertas

Os alertas para secret scanning são exibidos na guia Segurança do repositório.

  1. Em GitHub, acesse a página principal do repositório.
  2. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.
    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.
  3. Na barra lateral esquerda, em "Alertas de vulnerabilidades", clique em Secret scanning .
  4. Em "Secret scanning", clique no alerta que você deseja exibir.

Filtragem de alertas

Você pode aplicar vários filtros à lista de alertas para ajudar a encontrar os alertas de maior interesse. Você pode usar os menus suspensos acima da lista de alertas ou inserir os qualificadores listados na tabela na barra de pesquisa.

QualificadorDescrição
is:openExibe alertas abertos.
is:closedExibe alertas fechados.
bypassed: trueExibe alertas para segredos em que a proteção por push foi ignorada. Para saber mais, confira Sobre a proteção por push.
validity:activeExibe alertas para segredos reconhecidamente ativos. Aplica-se somente a tokens GitHub. Para obter mais informações sobre os status de validade, consulte Avaliando alertas da verificação de segredos.
validity:inactiveExibe alertas para segredos que não estão mais ativos.
validity:unknownExibe alertas para segredos nos quais o status de validade é desconhecido.
secret-type:SECRET-NAMEExibe alertas para um tipo específico de segredo, por exemplo, secret-type:github_personal_access_token. Para obter uma lista dos tipos de segredo compatíveis, confira Padrões de varredura de segredos com suporte.
provider:PROVIDER-NAMEExibe alertas para um provedor específico, por exemplo, provider:github. Para obter uma lista de parceiros compatíveis, confira Padrões de varredura de segredos com suporte.

Próximas etapas