Monitorando alertas da verificação de segredos

Saiba como e quando GitHub Enterprise Cloud notificará você sobre um alerta de verificação de segredos.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

Neste artigo

Configurar notificações para alertas de verificação de segredo

Além de exibir um alerta na guia Segurança do repositório, o GitHub Enterprise Cloud também pode enviar notificações por email para alertas. As notificações são diferentes para verificações incrementais e verificações históricas.

Verificações incrementais

Quando um novo segredo é detectado, o GitHub Enterprise Cloud notifica todos os usuários com acesso aos alertas de segurança do repositório de acordo com as preferências de notificação. Esses usuários incluem:

  • Administradores do repositório
  • Gerentes de segurança
  • Usuários com funções personalizadas com acesso de leitura/gravação
  • Proprietários da organização e proprietários da empresa, se forem administradores de repositórios onde os segredos foram vazados

Note

Os autores de confirmação que acidentalmente fizeram commit de segredos serão notificados, independentemente das preferências de notificação deles.

Você receberá uma notificação por email se:

  • Estiver inspecionando o repositório.
  • Tiver habilitado as notificações para "Todas as atividades" ou para os "Alertas de segurança" personalizados no repositório.
  • Tiver selecionado, em suas configurações de notificação, em "Assinaturas" e, em seguida, em "Inspeção", a opção para receber notificações por email.

  1. Em GitHub, acesse a página principal do repositório.

  2. Para começar a inspecionar o repositório, selecione Inspecionar.

    Captura de tela da página principal do repositório. Um menu suspenso, intitulado "Assistir", é realçado com um contorno em laranja.

  3. No menu suspenso, clique em Todas as atividades. Como alternativa, para assinar somente alertas de segurança, clique em Personalizado e, em seguida, em Alertas de segurança.

  4. Acesse as configurações de notificação da sua conta pessoal. Elas estão disponíveis em https://github.com/settings/notifications.

  5. Na página de configurações de notificação, em "Assinaturas" e, em seguida, em "Inspeção", selecione o menu suspenso Notificar-me.

  6. Selecione "Email" como uma opção de notificação e clique em Salvar.

    Captura de tela das configurações de notificação de uma conta de usuário. Um cabeçalho de elemento, intitulado "Assinaturas", e um subcabeçalho, intitulado "Inspeção", são mostrados. Uma caixa de seleção, intitulada "Email", é realçada com um contorno em laranja.

Para obter mais informações sobre como configurar as preferências de configurações, confira "Gerenciando as configurações de segurança e análise do repositório" e "Como definir as configurações de inspeção de um repositório individual."

Verificações históricas

Para verificações históricas, GitHub Enterprise Cloud notifica os seguintes usuários:

  • Proprietários da organização, proprietários da empresa e gerentes de segurança sempre que uma verificação histórica for concluída, mesmo que nenhum segredo seja encontrado.
  • Administradores de repositório, gerentes de segurança e usuários com funções personalizadas com acesso de leitura/gravação sempre que uma verificação histórica detecta um segredo e de acordo com suas preferências de notificação.

Não notificamos os autores de commit.

Para obter mais informações sobre como configurar as preferências de configurações, confira "Gerenciando as configurações de segurança e análise do repositório" e "Como definir as configurações de inspeção de um repositório individual."

Auditoria de respostas a alertas de verificação de segredo

Você pode auditar as ações executadas em resposta aos alertas do secret scanning usando as ferramentas do GitHub. Para obter mais informações, confira "Alertas de segurança de auditoria".