Gerenciar alertas de verificação de segredo
Observação: os alertas são criados somente para repositórios com alertas de verificação de segredo para usuários habilitados. Os segredos encontrados em repositórios públicos que usam o serviço gratuito de alertas de verificação de segredo para parceiros são relatados diretamente ao parceiro, sem a criação de um alerta. Para obter mais informações, confira "Padrões de digitalização de segredo".
-
No GitHub.com, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.
-
Na barra lateral esquerda, em "Alertas de vulnerabilidades", clique em Secret scanning .
-
Em "Secret scanning" clique no alerta que você deseja exibir.
-
Opcionalmente, se o segredo vazado for um token GitHub, verifique a validade do segredo e siga as etapas de correção.
Observação: a verificação de validade de tokens do GitHub está em versão prévia pública no momento e sujeita a alterações.
O GitHub fornece informações sobre a validade do segredo, somente para tokens do GitHub.
Validade Result Segredo ativo O GitHub confirmou que esse segredo está ativo Segredo ativo O GitHub consultou o provedor desse segredo e descobriu que o segredo está ativo Segredo possivelmente ativo O GitHub ainda não dá suporte a verificações de validação desse tipo de token Segredo possivelmente ativo O GitHub não pôde verificar esse segredo O segredo aparece inativo Você deve ter certeza de que não ocorreu nenhum acesso não autorizado -
Para ignorar um alerta, selecione o menu suspenso "Fechar como" e clique em um motivo para resolver um alerta.
-
Opcionalmente, no campo "Comentário", adicione um comentário de ignorar. O comentário de ignorar será adicionado à linha do tempo do alerta e pode ser usado como justificativa em auditorias e relatórios. Você pode exibir o histórico de todos os alertas ignorados e comentários de demissão na linha do tempo do alerta. Você também pode recuperar ou definir um comentário usando a API do Secret scanning. O comentário está contido no campo
resolution_comment
. Para obter mais informações, confira "Secret scanning" na documentação da API REST. -
Clique em Fechar alerta.
Protegendo segredos comprometidos
Uma vez que um segredo tenha sido committed a um repositório, você deve considerar o segredo comprometido. O GitHub recomenda as seguintes ações para segredos comprometidos:
-
Para um GitHub personal access token comprometido, exclua o token comprometido, crie um novo token e atualize qualquer serviço que usa o token antigo. Para obter mais informações, confira "Criando um token de acesso pessoal".
- Se a organização pertence a uma conta corporativa, identifique todas as ações executadas pelo token comprometido nos recursos da empresa. Para obter mais informações, confira "Identificar eventos de log de auditoria executados por um token de acesso".
-
Para todos os outros segredos, primeiro, verifique se o segredo confirmado no GitHub Enterprise Cloud é válido. Nesse caso, crie um segredo, atualize todos os serviços que usam o segredo antigo e, em seguida, exclua o segredo antigo.
Observação: se um segredo for detectado em um repositório público no GitHub.com e o segredo também corresponder a um padrão de parceiros, um alerta será gerado e o segredo potencial será relatado ao provedor de serviços. Para mais detalhes sobre os padrões dos parceiros, confira "Padrões de digitalização de segredo".
Configurar notificações para alertas de verificação de segredo
Quando um novo segredo é detectado, o GitHub Enterprise Cloud notifica todos os usuários com acesso aos alertas de segurança do repositório de acordo com as preferências de notificação. Você receberá uma notificação por email se estiver inspecionando o repositório, se tiver habilitado as notificações de alertas de segurança ou de todas as atividades no repositório ou se você for o autor do commit que contém o segredo e não estiver ignorando o repositório.
Para obter mais informações, confira "Gerenciando as configurações de segurança e análise do repositório" e "Configurar notificações."
Auditoria de respostas a alertas de verificação de segredo
Você pode auditar as ações executadas em resposta aos alertas do secret scanning usando as ferramentas do GitHub. Para obter mais informações, confira "Alertas de segurança de auditoria".