Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Configurar a verificação de segredo para seus repositórios

Você pode configurar como o GitHub verifica seus repositórios em busca de segredos vazados e alertas gerados.

Who can use this feature

People with admin permissions to a repository can enable secret scanning for the repository.

Os Secret scanning alerts for partners são executados automaticamente em todos os repositórios públicos. Se você tiver uma licença do GitHub Advanced Security, poderá habilitar e configurar a secret scanning alerts for users para qualquer repositório pertencente a uma organização. Para obter mais informações, confira "Sobre secret scanning alerts for users" e "Sobre a GitHub Advanced Security."

Como habilitar os secret scanning alerts for users

Você pode habilitar os secret scanning alerts for users para qualquer repositório que pertença a uma organização. Depois de habilitado, secret scanning verifica todos segredos em todo o histórico do Git em todos os branches presentes no repositório GitHub. Secret scanning também analisa descrições de problemas e comentários em busca de segredos.

Nota: Secret scanning para descrições de problemas e comentários está em beta público e sujeito a alterações.

Note: se sua organização pertence a uma conta corporativa, um proprietário corporativo também pode habilitar secret scanning no nível de empresa. Para obter mais informações, confira "Como gerenciar os recursos do GitHub Advanced Security na empresa".

  1. No GitHub.com, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Configurações. Botão Configurações do repositório

  2. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

  3. Se o Advanced Security ainda não estiver habilitado no repositório, à direita de "GitHub Advanced Security", clique em Habilitar. Habilitar o GitHub Advanced Security no seu repositório

  4. Revise o impacto da habilitação do Advanced Security e clique em Habilitar o GitHub Advanced Security neste repositório.

  5. Quando você habilitar Advanced Security, secret scanning pode ser habilitado automaticamente para o repositório, devido às configurações da organização. Se "Secret scanning" for mostrado com um botão Habilitar, você ainda precisará habilitar a secret scanning clicando em Habilitar. Se um botão Desabilitar for exibido, a secret scanning já estará habilitada. Habilitar a secret scanning no seu repositório

  6. Opcionalmente, caso deseje habilitar a proteção por push, clique em Habilitar à direita de "Proteção por push". Quando você habilita a proteção por push, a secret scanning também verifica os pushes em busca de segredos de alta confiança (aqueles identificados com uma baixa taxa de falsos positivos). A Secret scanning lista todos os segredos detectados para que o autor possa revisar os segredos e removê-los ou, se necessário, permitir que esses segredos sejam enviados por push. Para obter mais informações, confira "Como proteger pushes com a secret scanning". Habilitar a proteção por push no seu repositório

Como excluir diretórios dos secret scanning alerts for users

Use um arquivo secret_scanning.yml para excluir diretórios da secret scanning. Por exemplo, você pode excluir diretórios que contenham testes ou conteúdo gerado aleatoriamente.

  1. No GitHub.com, navegue até a página principal do repositório. 1. Acima da lista de arquivos, usando o menu suspenso Adicionar arquivo, clique em Criar arquivo. "Criar arquivo" no menu suspenso "Adicionar arquivo"

  2. No campo de nome do arquivo, digite .github/secret_scanning.yml.

  3. Em Editar novo arquivo, digite paths-ignore: seguido dos caminhos que deseja excluir da secret scanning.

    paths-ignore:
      - "foo/bar/*.js"
    

    Você pode usar caracteres especiais, como * para filtrar caminhos. Para obter mais informações sobre os padrões de filtro, confira "Sintaxe de fluxo de trabalho do GitHub Actions".

    Observações:

    • Se houver mais de mil entradas em paths-ignore, a secret scanning excluirá apenas os primeiros mil diretórios das verificações.
    • Se secret_scanning.yml for maior que 1 MB, a secret scanning vai ignorar todo o arquivo.

Você também pode ignorar alertas individuais de secret scanning. Para obter mais informações, confira "Como gerenciar alertas da secret scanning".

Leitura adicional