Skip to main content

Padrões de digitalização de segredo

Lista de segredos compatíveis e parceiros com quem GitHub trabalha para evitar o uso fraudulento de segredos cometidos acidentalmente.

Quem pode usar esse recurso?

A Secret scanning estará disponível para os repositórios pertencentes a uma organização no GitHub Enterprise Server se a sua empresa tiver uma licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre a verificação de segredo" e "Sobre a Segurança Avançada do GitHub".

Observação: o administrador do site precisa habilitar a secret scanning no sua instância do GitHub Enterprise Server para que você possa usar esse recurso. Para obter mais informações, confira "Configurar a varredura de segredo para o seu dispositivo".

Talvez você não consiga habilitar ou desabilitar a secret scanning se um proprietário da empresa tiver definido uma política no nível da empresa. Para obter mais informações, confira "Como impor políticas para segurança e análise de código na empresa".

Sobre os alertas de secret scanning

Quando verificação de segredo é habilitado, o GitHub examina os repositórios em busca de segredos emitidos por uma grande variedade de provedores de serviços e gera alertas de verificação de segredo.

Você pode ver esses alertas na guia Segurança do repositório.

Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. Isso garante que os vazamentos mais críticos não estejam ocultos por trás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.

Se você usa a API REST para verificação de segredo, pode usar o Secret type para relatar segredos de emissores específicos. Para obter mais informações, confira "Pontos de extremidade da API REST para verificação de segredos".

Observação: você também pode definir padrões personalizados da secret scanning para seu repositório, sua organização ou sua empresa. Para obter mais informações, confira "Definir padrões personalizados para a verificação de segredo".

Sobre os alertas de proteção por push

Os alertas de proteção por push são alertas de usuário relatados pela proteção. Atualmente, o Secret scanning atua como uma proteção por push e verifica os repositórios em busca de segredos emitidos por alguns provedores de serviços.

Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. Isso garante que os vazamentos mais críticos não estejam ocultos por trás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.

Versões mais antigas de determinados tokens podem não ter suporte da proteção de push, pois esses tokens podem gerar um número maior de falsos positivos do que sua versão mais recente. A proteção de push também pode não se aplicar a tokens herdados. Para tokens como Chaves do Armazenamento do Azure, o GitHub só dá suporte a tokens criados recentemente, não a tokens que correspondem aos padrões herdados. Para obter mais informações sobre limitações de proteção de push, confira "Solução de problemas com a varredura de segredos".

Segredos compatíveis

Esta tabela lista os segredos compatíveis com o secret scanning. Veja os tipos de alertas gerados para cada token e se uma verificação de validade é realizada nele.

  • Provedor – Nome do provedor de token.

  • Alerta do Secret scanning: token para o qual os vazamentos são relatados aos usuários no GitHub. Aplica-se a repositórios privados em que GitHub Advanced Security e secret scanning estão habilitados.

  • Proteção por push – token para o qual vazamentos são relatados aos usuários no GitHub. Aplica-se a repositórios com o secret scanning e proteção por push habilitada.

    Observação: Versões mais antigas de determinados tokens podem não ter suporte da proteção de push, pois esses tokens podem gerar um número maior de falsos positivos do que sua versão mais recente. A proteção de push também pode não se aplicar a tokens herdados. Para tokens como Chaves do Armazenamento do Azure, o GitHub só dá suporte a tokens criados recentemente, não a tokens que correspondem aos padrões herdados. para obter mais informações sobre limitações de proteção por push, confira "Solução de problemas com a varredura de segredos".

  • Verificação de validade – token para o qual uma verificação de validade é implementada. No momento, só se aplica a tokens do GitHub.

ProvedorTokenSecret scanning alertProteção por pushVerificação de validade
Adafruitadafruit_io_key
Adobeadobe_client_secret
Adobeadobe_device_token
Adobeadobe_pac_token
Adobeadobe_refresh_token
Adobeadobe_service_token
Adobeadobe_short_lived_access_token
Aivenaiven_auth_token
Aivenaiven_service_password
Alibabaalibaba_cloud_access_key_id
alibaba_cloud_access_key_secret
Amazon AWSaws_access_key_id
aws_secret_access_key
Asanaasana_personal_access_token
Atlassianatlassian_api_token
Atlassianatlassian_api_token
Atlassianatlassian_jwt
Authressauthress_service_client_access_key
Azureazure_active_directory_application_secret
Azureazure_active_directory_application_secret
Azureazure_active_directory_application_secret
Azureazure_batch_key_identifiable
Azureazure_cache_for_redis_access_key
Azureazure_container_registry_key_identifiable
Azureazure_cosmosdb_key_identifiable
Azureazure_devops_personal_access_token
Azureazure_function_key
Azureazure_management_certificate
Azureazure_ml_web_service_classic_identifiable_key
Azureazure_sas_token
Azureazure_search_admin_key
Azureazure_search_query_key
Azureazure_sql_connection_string
Azureazure_sql_password
Azureazure_storage_account_key
Azureazure_storage_account_key
Baidubaiducloud_api_accesskey
Beamerbeamer_api_key
Bitbucketbitbucket_server_personal_access_token
Canadian Digital Servicecds_canada_notify_api_key
Checkout.comcheckout_production_secret_key
Checkout.comcheckout_production_secret_key
Checkout.comcheckout_test_secret_key
Checkout.comcheckout_test_secret_key
Chief Toolschief_tools_token
Clojarsclojars_deploy_token
CloudBeescodeship_credential
Contentfulcontentful_personal_access_token
crates.iocratesio_api_token
Databricksdatabricks_access_token
Defined Networkingdefined_networking_nebula_api_key
DevCycledevcycle_client_api_key
DevCycledevcycle_mobile_api_key
DevCycledevcycle_server_api_key
DigitalOceandigitalocean_oauth_token
DigitalOceandigitalocean_personal_access_token
DigitalOceandigitalocean_refresh_token
DigitalOceandigitalocean_system_token
Discorddiscord_bot_token
Discorddiscord_bot_token
Dopplerdoppler_audit_token
Dopplerdoppler_cli_token
Dopplerdoppler_personal_token
Dopplerdoppler_scim_token
Dopplerdoppler_service_account_token
Dopplerdoppler_service_token
Dropboxdropbox_access_token
Dropboxdropbox_short_lived_access_token
Duffelduffel_live_access_token
Duffelduffel_test_access_token
Dynatracedynatrace_internal_token
EasyPosteasypost_production_api_key
EasyPosteasypost_test_api_key
eBayebay_production_client_id
ebay_production_client_secret
eBayebay_sandbox_client_id
ebay_sandbox_client_secret
Facebookfacebook_access_token
Fastlyfastly_api_token
Fastlyfastly_api_token
Figmafigma_pat
Finicityfinicity_app_key
Firebasefirebase_cloud_messaging_server_key
Flutterwaveflutterwave_live_api_secret_key
Flutterwaveflutterwave_test_api_secret_key
Frame.ioframeio_developer_token
Frame.ioframeio_jwt
FullStoryfullstory_api_key
FullStoryfullstory_api_key
GitHubgithub_app_installation_access_token
GitHubgithub_app_installation_access_token
GitHubgithub_oauth_access_token
GitHubgithub_oauth_access_token
GitHubgithub_personal_access_token
GitHubgithub_personal_access_token
GitHubgithub_personal_access_token
GitHubgithub_refresh_token
GitHubgithub_ssh_private_key
GitLabgitlab_access_token
GoCardlessgocardless_live_access_token
GoCardlessgocardless_sandbox_access_token
Googlegoogle_api_key
Googlegoogle_cloud_private_key_id
Googlegoogle_oauth_access_token
Googlegoogle_oauth_client_id
google_oauth_client_secret
Googlegoogle_oauth_refresh_token
Grafanagrafana_cloud_api_key
Grafanagrafana_cloud_api_token
Grafanagrafana_project_api_key
Grafanagrafana_project_service_account_token
HashiCorphashicorp_vault_batch_token
HashiCorphashicorp_vault_batch_token
HashiCorphashicorp_vault_root_service_token
HashiCorphashicorp_vault_service_token
HashiCorphashicorp_vault_service_token
HashiCorpterraform_api_token
Highnotehighnote_rk_live_key
Highnotehighnote_rk_test_key
Highnotehighnote_sk_live_key
Highnotehighnote_sk_test_key
HOPhop_bearer
HOPhop_pat
HOPhop_ptk
Hubspothubspot_api_key
Hubspothubspot_api_key
Hubspothubspot_api_key
Intercomintercom_access_token
Ionicionic_personal_access_token
Ionicionic_personal_access_token
Ionicionic_refresh_token
Ionicionic_refresh_token
JFrogjfrog_platform_access_token
JFrogjfrog_platform_api_key
JFrogjfrog_platform_reference_token
Linearlinear_api_key
Linearlinear_oauth_access_token
Loblob_live_api_key
Loblob_test_api_key
Localstacklocalstack_api_key
LogicMonitorlogicmonitor_bearer_token
LogicMonitorlogicmonitor_lmv1_access_key
Mailchimpmailchimp_api_key
Mailgunmailgun_api_key
Mailgunmailgun_api_key
Mapboxmapbox_secret_access_token
MaxMindmaxmind_license_key
Mercurymercury_non_production_api_token
Mercurymercury_production_api_token
MessageBirdmessagebird_api_key
Midtransmidtrans_production_server_key
Midtransmidtrans_sandbox_server_key
New Relicnew_relic_insights_query_key
New Relicnew_relic_license_key
New Relicnew_relic_personal_api_key
New Relicnew_relic_rest_api_key
Notionnotion_integration_token
Notionnotion_oauth_client_secret
npmnpm_access_token
npmnpm_access_token
npmnpm_access_token
NuGetnuget_api_key
Octopus Deployoctopus_deploy_api_key
OneChronosonechronos_api_key
OneChronosonechronos_eb_api_key
OneChronosonechronos_eb_encryption_key
OneChronosonechronos_oauth_token
OneChronosonechronos_refresh_token
Onfidoonfido_live_api_token
Onfidoonfido_sandbox_api_token
OpenAIopenai_api_key
OpenAIopenai_api_key
Palantirpalantir_jwt
Persona Identitiespersona_production_api_key
Persona Identitiespersona_sandbox_api_key
Pinterestpinterest_access_token
Pinterestpinterest_refresh_token
PlanetScaleplanetscale_database_password
PlanetScaleplanetscale_oauth_token
PlanetScaleplanetscale_service_token
Plivoplivo_auth_id
plivo_auth_token
Postmanpostman_api_key
Postmanpostman_collection_key
Prefectprefect_server_api_key
Prefectprefect_user_api_key
Proctorioproctorio_consumer_key
Proctorioproctorio_linkage_key
Proctorioproctorio_registration_key
Proctorioproctorio_secret_key
Proctorioproctorio_secret_key
Pulumipulumi_access_token
PyPIpypi_api_token
ReadMereadmeio_api_access_token
redirect.pizzaredirect_pizza_api_token
Rootlyrootly_api_key
RubyGemsrubygems_api_key
Samsarasamsara_api_token
Samsarasamsara_oauth_access_token
Segmentsegment_public_api_token
SendGridsendgrid_api_key
Sendinbluesendinblue_api_key
Sendinbluesendinblue_smtp_key
Shipposhippo_live_api_token
Shipposhippo_test_api_token
Shopifyshopify_access_token
Shopifyshopify_app_client_credentials
Shopifyshopify_app_client_secret
Shopifyshopify_app_shared_secret
Shopifyshopify_custom_app_access_token
Shopifyshopify_marketplace_token
Shopifyshopify_merchant_token
Shopifyshopify_partner_api_token
Shopifyshopify_private_app_password
Slackslack_api_token
Slackslack_api_token
Slackslack_api_token
Slackslack_incoming_webhook_url
Slackslack_workflow_webhook_url
Squaresquare_access_token
Squaresquare_access_token
Squaresquare_access_token
Squaresquare_production_application_secret
Squaresquare_sandbox_application_secret
SSLMatesslmate_api_key
SSLMatesslmate_api_key
SSLMatesslmate_cluster_secret
Stripestripe_api_key
Stripestripe_legacy_api_key
Stripestripe_live_restricted_key
Stripestripe_test_restricted_key
Stripestripe_test_secret_key
Stripestripe_webhook_signing_secret
Supabasesupabase_service_key
Supabasesupabase_service_key
Tableautableau_personal_access_token
Telegramtelegram_bot_token
Telnyxtelnyx_api_v2_key
Tencenttencent_cloud_secret_id
Tencenttencent_wechat_api_app_id
Twiliotwilio_access_token
Twiliotwilio_account_sid
Twiliotwilio_api_key
Typeformtypeform_personal_access_token
Uniwisewiseflow_api_key
Wakatimewakatime_app_secret
Wakatimewakatime_oauth_access_token
Wakatimewakatime_oauth_refresh_token
Yandexyandex_cloud_api_key
Yandexyandex_cloud_iam_cookie
Yandexyandex_cloud_iam_token
Yandexyandex_cloud_smartcaptcha_server_key
Yandexyandex_dictionary_api_key
Yandexyandex_predictor_api_key
Yandexyandex_translate_api_key
Zuplozuplo_consumer_api_key

Leitura adicional