Sobre a página de alertas do secret scanning
Quando você habilita a secret scanning para um repositório ou envia commits por push a um repositório com a secret scanning habilitada, o GitHub verifica o conteúdo em busca de segredos que correspondam aos padrões definidos pelos provedores de serviço e aos padrões personalizados definidos na empresa, na organização ou no repositório.
Quando a secret scanning detectar um segredo, o GitHub gerará um alerta. GitHub exibe um alerta na guia Segurança do repositório.
Para ajudar você a fazer a triagem de alertas com mais eficiência, o GitHub separa os alertas em duas listas:
- Alertas padrão
- Alertas experimentais
Lista de alertas padrão
A lista de alertas padrão exibe alertas relacionados a padrões compatíveis e padrões personalizados especificados. Esta é a exibição principal para alertas.
Lista de alertas experimentais
A lista de alertas experimentais exibe alertas relacionados a padrões que não são de provedor (como chaves privadas) ou segredos genéricos detectados usando IA (como senhas). Esses tipos de alertas possuem uma taxa maior de falsos positivos ou segredos usados em testes. Você pode alternar para a lista de alertas experimentais na lista de alertas padrão.
Além disso, os alertas que se enquadram nessa categoria:
- São limitados em quantidade a cinco mil alertas por repositório (isso inclui alertas abertos e fechados).
- Não são mostrados nas exibições de resumo na visão geral de segurança, apenas na exibição "Secret scanning".
- Têm somente os cinco primeiros locais detectados exibidos no GitHub para padrões que não são de provedor, e somente o primeiro local detectado é exibido para segredos genéricos detectados por IA.
Para que o GitHub verifique padrões que não são de provedor e segredos genéricos, você deve habilitar o recursos para seu repositório ou sua organização. Para obter mais informações, confira Habilitar a verificação de segredos que não são de provedor e Ativando a detecção de segredo genérico da verificação de segredos do Copilot.
O GitHub continuará a liberar novos padrões e tipos secretos para a lista de alertas experimentais e os promoverá para a lista padrão quando o recurso for concluído (por exemplo, quando eles tiverem um volume adequadamente baixo e uma taxa de falsos positivos).
Exibindo alertas
Os alertas para secret scanning são exibidos na guia Segurança do repositório.
-
Em GitHub, acesse a página principal do repositório.
-
Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.
-
Na barra lateral esquerda, em "Alertas de vulnerabilidades", clique em Secret scanning .
-
Opcionalmente, alterne para "Experimental" para ver os alertas para padrões que não são de provedor ou segredos genéricos detectados usando IA.
-
Em "Secret scanning", clique no alerta que você deseja exibir.
Note
Somente pessoas com permissões de administrador para o repositório que contém um segredo vazado podem exibir detalhes de alerta de segurança e metadados de token para um alerta. Os proprietários da empresa podem solicitar acesso temporário ao repositório com essa finalidade.
Filtragem de alertas
Você pode aplicar vários filtros à lista de alertas para ajudar a encontrar os alertas de maior interesse. Você pode usar os menus suspensos acima da lista de alertas ou inserir os qualificadores listados na tabela na barra de pesquisa.
Qualificador | Descrição |
---|---|
is:open | Exibe alertas abertos. |
is:closed | Exibe alertas fechados. |
bypassed: true | Exibe alertas para segredos em que a proteção por push foi ignorada. Para saber mais, confira Sobre a proteção por push. |
validity:active | Exibe alertas para segredos reconhecidamente ativos. Para obter mais informações sobre os status de validade, consulte Avaliando alertas da verificação de segredos. |
validity:inactive | Exibe alertas para segredos que não estão mais ativos. |
validity:unknown | Exibe alertas para segredos nos quais o status de validade é desconhecido. |
secret-type:SECRET-NAME | Exibe alertas para um tipo específico de segredo, por exemplo, secret-type:github_personal_access_token . Para obter uma lista dos tipos de segredo compatíveis, confira Padrões de varredura de segredos com suporte. |
provider:PROVIDER-NAME | Exibe alertas para um provedor específico, por exemplo, provider:github . Para obter uma lista de parceiros compatíveis, confira Padrões de varredura de segredos com suporte. |
results:default | Exibe alertas para padrões compatíveis e padrões personalizados. Para obter uma lista de padrões compatíveis, confira Padrões de varredura de segredos com suporte. |
results:experimental | Exibe alertas para padrões que não são de provedor, como chaves privadas e segredos genéricos detectados por IA, como senhas. Para obter uma lista de padrões que não são de provedores compatíveis, confira Padrões de varredura de segredos com suporte. Para obter mais informações sobre segredos genéricos detectados por IA, consulte Detecção responsável de segredos genéricos com a verificação de segredos do Copilot. |