Gerenciar alertas da verificação de segredo

Neste artigo

Você pode visualizar e fechar alertas de segredos verificados para seu repositório.

Quem pode usar esse recurso

People with admin access to a repository can view and dismiss secret scanning alerts for the repository.

Os Alertas de verificação de segredo para parceiros são executados automaticamente em repositórios públicos e pacotes npm públicos para notificar os provedores de serviço sobre os segredos vazados do GitHub.com.

Os Alertas de verificação de segredo para usuários estão disponíveis gratuitamente em todos os repositórios públicos. As organizações que usam o GitHub Enterprise Cloud com uma licença do GitHub Advanced Security também podem habilitar alertas de verificação de segredo para usuários em seus repositórios privados e internos. Para obter mais informações, confira "Sobre a verificação de segredo" e "Sobre a Segurança Avançada do GitHub".

Para obter informações sobre como você pode experimentar GitHub Advanced Security gratuitamente, confira "Como configurar uma avaliação gratuita do GitHub Advanced Security."

Gerenciar alertas de verificação de segredo

Observação: os alertas são criados somente para repositórios com alertas de verificação de segredo para usuários habilitados. Os segredos encontrados em repositórios públicos e pacotes npm públicos que usam o serviço gratuito de alertas de verificação de segredo para parceiros são relatados diretamente ao parceiro, sem a criação de um alerta. Para obter mais informações, confira "Padrões de digitalização de segredo".

  1. No GitHub.com, navegue até a página principal do repositório.
  2. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança. Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.
  3. Na barra lateral esquerda, em "Alertas de vulnerabilidades", clique em Secret scanning .
  4. Em "Secret scanning" clique no alerta que você deseja exibir.
  5. Opcionalmente, para executar uma verificação de validade no token, clique em , no canto superior direito do alerta. Para obter mais informações, confira "Validar padrões de parceiros".

Observação: você só poderá executar verificações de validade sob demanda para padrões detectados no repositório se as verificações automáticas de validade tiverem sido habilitadas no repositório. Para obter mais informações, confira "Permitir verificações de validade para padrões de parceiros em um repositório".

  1. Opcionalmente, se o segredo vazado for um token do GitHub, você também poderá revisar os metadados do token. Para obter mais informações sobre como revisar metadados de token, confira "Revisando metadados de token do GitHub."

  2. Para ignorar um alerta, selecione o menu suspenso "Fechar como" e clique em um motivo para resolver um alerta.

    Captura de tela de um alerta do secret scanning. Um menu suspenso, intitulado "Fechar como", é expandido e realçado com um contorno em laranja escuro.

  3. Opcionalmente, no campo "Comentário", adicione um comentário de ignorar. O comentário de ignorar será adicionado à linha do tempo do alerta e pode ser usado como justificativa em auditorias e relatórios. Você pode exibir o histórico de todos os alertas ignorados e comentários de demissão na linha do tempo do alerta. Você também pode recuperar ou definir um comentário usando a API do Secret scanning. O comentário está contido no campo resolution_comment. Para obter mais informações, confira "Verificação de segredo" na documentação da API REST.

  4. Clique em Fechar alerta.

Validar padrões de parceiros

Observação: as verificações de validade para padrões de parceiros estão em versão beta e sujeitas a alterações.

As verificações de validade para padrões de parceiros estão disponíveis em todos os tipos de repositórios GitHub.com. Para usar esse recurso, você deve ter uma licença para GitHub Advanced Security.

Você pode permitir que o secret scanning verifique a validade de um segredo encontrado em seu repositório enviando-o ao parceiro relevante.

É possível habilitar verificações automáticas de validade para padrões de parceiros compatíveis nas configurações de segurança de código para o repositório, a organização ou a empresa. O GitHub enviará periodicamente o padrão ao parceiro relevante para verificar a validade do segredo e exibirá o status de validação do segredo na exibição de alertas.

Para obter mais informações sobre como habilitar verificações de validação automática para padrões de parceiros no repositório, na organização ou na empresa, confira "Permitir verificações de validade para padrões parceiros em um repositório", "Permitir verificações de validade para padrões de parceiros em uma organização" e "Como gerenciar os recursos do Advanced Security".

Se o repositório tiver verificações de validade habilitadas, você também poderá executar uma verificação de validade sob demanda para um segredo clicando em na exibição de alertas. O GitHub enviará o padrão ao parceiro relevante e exibirá o status de validação do segredo na exibição de alertas.

Você pode usar o status de validação de um segredo vazado para ajudar a priorizar os segredos que precisam de medidas de correção.

ValidadeResult
Segredo ativoO GitHub confirmou que esse segredo está ativo
Segredo ativoO GitHub consultou o provedor desse segredo e descobriu que o segredo está ativo
Segredo possivelmente ativoO GitHub ainda não dá suporte a verificações de validação desse tipo de token
Segredo possivelmente ativoO GitHub não pôde verificar esse segredo
O segredo aparece inativoVocê deve ter certeza de que não ocorreu nenhum acesso não autorizado

Para obter mais informações sobre quais parceiros oferecem suporte a verificações de validade, confira "Segredos compatíveis".

Revisando metadados de token do GitHub

Observação: os metadados de token do GitHub estão em versão prévia pública no momento e sujeitos a alterações.

Na exibição de um alerta de token ativo do GitHub, você pode examinar determinados metadados sobre o token. Esses metadados podem ajudá-lo a identificar o token e decidir quais etapas de correção devem ser tomadas. Para obter mais informações sobre como exibir alertas individuais, confira "Gerenciando alertas do secret scanning."

Tokens, como personal access token e outras credenciais, são considerados informações pessoais. Para obter mais informações sobre como usar tokens do GitHub, consulte a Política de Privacidade do GitHub e as Políticas de Uso Aceitável.

Captura de tela da interface do usuário de um token do GitHub mostrando os metadados do token.

Os metadados para tokens de GitHub estão disponíveis para tokens ativos em qualquer repositório com a verificação de segredo habilitada. Se um token tiver sido revogado ou seu status não puder ser validado, os metadados não estarão disponíveis. GitHub revoga automaticamente tokens de GitHub em repositórios públicos, portanto, é improvável que os metadados para tokens de GitHub em repositórios públicos estejam disponíveis. Os seguintes metadados estão disponíveis para tokens ativos do GitHub:

MetadadosDescrição
Nome do segredoO nome dado ao token GitHub por seu criador
Proprietário do segredoO identificador de GitHub do proprietário do token
Criado emData em que o token foi criado
Expirou emData em que o token expirou
Usado pela última vez emData em que o token foi usado pela última vez
AccessSe o token tem acesso à organização

Protegendo segredos comprometidos

Uma vez que um segredo tenha sido committed a um repositório, você deve considerar o segredo comprometido. O GitHub recomenda as seguintes ações para segredos comprometidos:

  • Para um GitHub personal access token comprometido, exclua o token comprometido, crie um novo token e atualize qualquer serviço que usa o token antigo. Para obter mais informações, confira "Gerenciar seus tokens de acesso pessoal".
  • Para todos os outros segredos, primeiro, verifique se o segredo confirmado no GitHub Enterprise Cloud é válido. Nesse caso, crie um segredo, atualize todos os serviços que usam o segredo antigo e, em seguida, exclua o segredo antigo.

Observação: se um segredo for detectado em um repositório público no GitHub.com e o segredo também corresponder a um padrão de parceiros, um alerta será gerado e o segredo potencial será relatado ao provedor de serviços. Para mais detalhes sobre os padrões dos parceiros, confira "Padrões de digitalização de segredo".

Configurar notificações para alertas de verificação de segredo

As notificações são diferentes para verificações incrementais e verificações históricas.

Verificações incrementais

Quando um novo segredo é detectado, o GitHub Enterprise Cloud notifica todos os usuários com acesso aos alertas de segurança do repositório de acordo com as preferências de notificação. Esses usuários incluem:

  • Administradores do repositório
  • Gerentes de segurança
  • Usuários com funções personalizadas com acesso de leitura/gravação
  • Proprietários da organização e proprietários da empresa, se forem administradores de repositórios onde os segredos foram vazados

Nota: os autores de commit que fizeram commit acidental de segredos serão notificados, independentemente de suas preferências de notificação.

Você receberá uma notificação por email se:

  • Estiver inspecionando o repositório.
  • Tiver habilitado as notificações para "Todas as atividades" ou para os "Alertas de segurança" personalizados no repositório.
  • Tiver selecionado, em suas configurações de notificação, em "Assinaturas" e, em seguida, em "Inspeção", a opção para receber notificações por email.

  1. No GitHub.com, navegue até a página principal do repositório.

  2. Para começar a inspecionar o repositório, selecione Inspecionar.

    Captura de tela da página principal do repositório. Um menu suspenso, intitulado "Assistir", é realçado com um contorno em laranja.

  3. No menu suspenso, clique em Todas as atividades. Como alternativa, para assinar somente alertas de segurança, clique em Personalizado e, em seguida, em Alertas de segurança.

  4. Acesse as configurações de notificação da sua conta pessoal. Elas estão disponíveis em https://github.com/settings/notifications.

  5. Na página de configurações de notificação, em "Assinaturas" e, em seguida, em "Inspeção", selecione o menu suspenso Notificar-me.

  6. Selecione "Email" como uma opção de notificação e clique em Salvar.

    Captura de tela das configurações de notificação de uma conta de usuário. Um cabeçalho de elemento, intitulado "Assinaturas", e um subcabeçalho, intitulado "Inspeção", são mostrados. Uma caixa de seleção, intitulada "Email", é realçada com um contorno em laranja.

Para obter mais informações sobre como configurar as preferências de configurações, confira "Gerenciando as configurações de segurança e análise do repositório" e "Como definir as configurações de inspeção de um repositório individual."

Verificações históricas

Para verificações históricas, GitHub Enterprise Cloud notifica os seguintes usuários:

  • Proprietários da organização, proprietários da empresa e gerentes de segurança sempre que uma verificação histórica for concluída, mesmo que nenhum segredo seja encontrado.
  • Administradores de repositório, gerentes de segurança e usuários com funções personalizadas com acesso de leitura/gravação sempre que uma verificação histórica detecta um segredo e de acordo com suas preferências de notificação.

Não notificamos os autores de commit.

Para obter mais informações sobre como configurar as preferências de configurações, confira "Gerenciando as configurações de segurança e análise do repositório" e "Como definir as configurações de inspeção de um repositório individual."

Auditoria de respostas a alertas de verificação de segredo

Você pode auditar as ações executadas em resposta aos alertas do secret scanning usando as ferramentas do GitHub. Para obter mais informações, confira "Alertas de segurança de auditoria".