Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Gerenciar alertas da verificação de segredo

Você pode visualizar e fechar alertas de segredos verificados para seu repositório.

Who can use this feature

People with admin access to a repository can view and dismiss secret scanning alerts for the repository.

Os Secret scanning alerts for partners são executados automaticamente em todos os repositórios públicos. Se você tiver uma licença do GitHub Advanced Security, poderá habilitar e configurar a secret scanning alerts for users para qualquer repositório pertencente a uma organização. Para obter mais informações, confira "Sobre secret scanning alerts for users" e "Sobre a GitHub Advanced Security."

Gerenciar secret scanning alerts

Observação: os alertas são criados somente para repositórios com secret scanning alerts for users habilitados. Os segredos encontrados em repositórios públicos que usam o serviço gratuito de secret scanning alerts for partners são relatados diretamente ao parceiro, sem a criação de um alerta. Para saber mais, confira "Segredos compatíveis para alertas de parceiros".

  1. No GitHub.com, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Segurança. Guia Segurança

  2. Na barra lateral esquerda, clique em alertas de Secret scanning . Captura de tela da guia "Alertas de Secret scanning

  3. Em "Secret scanning" clique no alerta que você deseja exibir. Captura de tela da lista de alertas de secret scanning

  4. Verifique a validade do segredo e siga as etapas de correção.

    Captura de tela da verificação de validade de um token do GitHub

    Observação: a verificação de validade de tokens do GitHub está em versão prévia pública no momento e sujeita a alterações.

    O GitHub fornece informações sobre a validade do segredo, somente para tokens do GitHub.

    ValidadeResult
    Segredo ativoO GitHub confirmou que esse segredo está ativo
    Segredo ativoO GitHub consultou o provedor desse segredo e descobriu que o segredo está ativo
    Segredo possivelmente ativoO GitHub ainda não dá suporte a verificações de validação desse tipo de token
    Segredo possivelmente ativoO GitHub não pôde verificar esse segredo
    O segredo aparece inativoVocê deve ter certeza de que não ocorreu nenhum acesso não autorizado
  5. Para ignorar um alerta, selecione o menu suspenso "Fechar como" e clique em um motivo para resolver um alerta.

    Captura de tela do menu suspenso para ignorar um alerta de secret scanning mostrando um link para a documentação do parceiro

  6. Opcionalmente, adicione um comentário de ignorar. O comentário de ignorar será adicionado à linha do tempo do alerta e pode ser usado como justificativa em auditorias e relatórios. Você pode exibir o histórico de todos os alertas ignorados e comentários de demissão na linha do tempo do alerta. Você também pode recuperar ou definir um comentário usando a API do Secret scanning. O comentário está contido no campo resolution_comment. Para obter mais informações, confira "Secret scanning" na documentação da API REST.

    Captura de tela mostrando como ignorar um alerta por meio do menu suspenso "Descartar alerta", com a opção de adicionar um comentário de ignorar

  7. Clique em Fechar alerta.

Protegendo segredos comprometidos

Uma vez que um segredo tenha sido committed a um repositório, você deve considerar o segredo comprometido. O GitHub recomenda as seguintes ações para segredos comprometidos:

  • Para um GitHub personal access token comprometido, exclua o token comprometido, crie um novo token e atualize qualquer serviço que usa o token antigo. Para obter mais informações, confira "Como criar um personal access token para a linha de comando".

  • Para todos os outros segredos, primeiro, verifique se o segredo confirmado no GitHub Enterprise Cloud é válido. Nesse caso, crie um segredo, atualize todos os serviços que usam o segredo antigo e, em seguida, exclua o segredo antigo.

Observação: se um segredo for detectado em um repositório público no GitHub.com e o segredo também corresponder a um padrão de parceiros, um alerta será gerado e o segredo potencial será relatado ao provedor de serviços. Para saber mais sobre os padrões de parceiros, confira "Segredos compatíveis para alertas parceiros”.

Configurar notificações para secret scanning alerts

Quando um novo segredo é detectado, o GitHub Enterprise Cloud notifica todos os usuários com acesso aos alertas de segurança do repositório de acordo com as preferências de notificação. Você receberá uma notificação por email se estiver inspecionando o repositório, se tiver habilitado as notificações de alertas de segurança ou de todas as atividades no repositório ou se você for o autor do commit que contém o segredo e não estiver ignorando o repositório.

Para obter mais informações, confira "Como gerenciar as configurações de segurança e análise para seu repositório" e "Como configurar notificações".