Gerenciando alertas de varredura secreta
Nota: Os alertas são criados apenas para repositórios com >- secret scanning for advanced security habilitado. Os segredos encontrados em repositórios públicos que usam o serviço gratuito de secret scanning for partner patterns são informados diretamente ao parceiro, sem criar um alerta.
-
No GitHub.com, navegue até a página principal do repositório.
-
No seu nome de repositório, clique em Segurança.
-
Na barra lateral esquerda, clique em Alertas de varredura de segredo.
-
Em "Escaneamento de segredos", clique no alerta que desejar visualizar.
-
Como alternativa, selecione o menu suspenso "Fechar como" e clique em um motivo para resolver um alerta.
Protegendo segredos comprometidos
Uma vez que um segredo tenha sido committed a um repositório, você deve considerar o segredo comprometido. O GitHub recomenda as seguintes ações para segredos comprometidos:
- Para um token de acesso pessoal do GitHub, exclua o token comprometido, crie outro token e atualize os serviços que usam o token antigo. Para obter mais informações, consulte "Criar um token de acesso pessoal para a linha de comando".
- Para todos os outros segredos, primeiro, verifique se o segredo commited para GitHub Enterprise Cloud é válido. Se sim, crie um novo segredo, atualize quaisquer serviços que utilizam o segredo antigo, e depois exclua o segredo antigo.
Nota: Se um segredo for detectado em um repositório público em GitHub.com e o segredo também corresponder ao padrão de um parceiro, será gerado um alerta e o segredo potencial será informado ao provedor de serviços. Para obter detalhes sobre os padrões de parceiros, consulte "segredos compatíveis com os padrões de parceiro".
Configurando notificações para alertas de varredura secreta
Quando um novo segredo é detectado, GitHub Enterprise Cloud notifica todos os usuários com acesso a alertas de segurança para o repositório, de acordo com suas preferências de notificação. Você receberá uma notificação por e-mail se estiver inspecionando o repositório, tiver habilitado as notificações para alertas de segurança ou para todas as atividades no repositório, ou for o autor do commit que contém o segredo e não estiver ignorando o repositório.
Para obter mais informações, consulte "Gerenciar configurações de segurança e análise do repositório" e "Configurar notificações".