Sobre a secret scanning
A Secret scanning é um recurso de segurança que ajuda a detectar e impedir a inclusão acidental de informações confidenciais, como chaves de API, senhas, tokens e outros segredos em seu repositório. Quando habilitada, a secret scanning verifica commits em repositórios em busca de tipos conhecidos de segredos e alerta os administradores do repositório após a detecção.
A Secret scanning verifica todo o histórico do Git em todas as ramificações presentes em seu repositório do GitHub em busca de segredos, mesmo que o repositório esteja arquivado. A Secret scanning não verifica problemas. O GitHub também executará periodicamente uma verificação completa do histórico do Git para novos tipos de segredo no conteúdo existente em repositórios GitHub Advanced Security em que a secret scanning está habilitada quando novos tipos de segredo com suporte são adicionados.
Quando um segredo com suporte vaza, o GitHub Enterprise Server gera um alerta de secret scanning. Os alertas são relatados na guia Segurança dos repositórios no GitHub Enterprise Server, onde você pode exibi-los, avaliá-los e resolvê-los. Para saber mais, confira Gerenciar alertas da verificação de segredo.
Para obter informações sobre os segredos e provedores de serviço compatíveis com o secret scanning, confira Padrões de varredura de segredos com suporte.
É possível também usar a API REST para monitorar os resultados da secret scanning nos seus repositórios ou na sua organização. Para obter mais informações sobre pontos de extremidade da API, confira Pontos de extremidade da API REST para verificação de segredos.
Você também pode usar a visão geral de segurança para ter uma visão no nível da organização de quais repositórios habilitaram a secret scanning e os alertas encontrados. Para saber mais, confira Sobre a visão geral de segurança.
Você pode auditar as ações executadas em resposta aos alertas do secret scanning usando as ferramentas do GitHub. Para obter mais informações, confira "Alertas de segurança de auditoria".
Como a secret scanning funciona
Abaixo está um fluxo de trabalho típico que explica como a secret scanning funciona:
-
Detecção: a Secret scanning verifica automaticamente o conteúdo do repositório em busca de dados confidenciais, como chaves de API, senhas, tokens e outros segredos. Ela procura padrões e heurísticas que correspondam a tipos de segredos conhecidos.
-
Alertas: quando um segredo potencial é detectado, o GitHub gera um alerta e notifica os administradores e usuários relevantes do repositório. Essa notificação inclui detalhes sobre o segredo detectado, como sua localização no repositório. Para obter mais informações sobre tipos de alerta e detalhes de alerta, confira Sobre alertas secretos de verificação.
-
Revisão: quando um segredo for detectado, você precisará revisar os detalhes do alerta fornecidos.
-
Correção: em seguida, você precisará adotar a medida apropriada para corrigir a exposição. Isso sempre deve incluir girar a credencial afetada para garantir que ela não seja mais utilizável. Também pode incluir a remoção do segredo do histórico do repositório (usando ferramentas como
git-filter-repo
; confira Remover dados confidenciais de um repositório para obter mais detalhes), embora isso provavelmente envolva muito tempo e esforço, e geralmente é desnecessário se as credenciais foram revogadas. -
Monitoramento: é uma boa prática auditar e monitorar regularmente seus repositórios para garantir que nenhum outro segredo seja exposto.
Sobre os benefícios da secret scanning
-
Segurança aprimorada: a Secret scanning verifica seus repositórios em busca de informações confidenciais, como chaves de API, senhas, tokens e outros segredos. Ao detectá-los antecipadamente, você pode mitigar possíveis riscos de segurança antes que eles sejam explorados por agentes mal-intencionados.
-
Detecção automatizada: o recurso verifica automaticamente sua base de código, incluindo commits, problemas e pull requests, garantindo proteção contínua sem exigir intervenção manual. Essa automação ajuda a manter a segurança mesmo com a evolução do repositório.
-
Alertas em tempo real: quando um segredo é detectado, a secret scanning fornece alertas em tempo real para administradores e colaboradores do repositório. Esse feedback imediato permite implementar ações de correção rápidas.
-
Suporte para padrões personalizados: as organizações podem definir padrões personalizados para detectar tipos de segredos proprietários ou exclusivos que podem não ser cobertos por padrões predefinidos. Essa flexibilidade permite adotar medidas de segurança personalizadas específicas para o seu ambiente.
Personalizando a secret scanning
Quando a secret scanning estiver habilitada, você poderá personalizá-la ainda mais:
Executando verificações de validade
As verificações de validade ajudam a priorizar os alertas, informando quais segredos estão active
ou inactive
. Para obter mais informações, consulte Avaliando alertas da verificação de segredos.
Definição de padrões personalizados
Defina seus próprios padrões para segredos usados por sua organização que a secret scanning pode verificar e detectar. Para saber mais, confira Definir padrões personalizados para a verificação de segredo.