Gerenciar alertas de verificação de segredo
-
No sua instância do GitHub Enterprise Server, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.
-
Na barra lateral esquerda, em "Alertas de vulnerabilidades", clique em Secret scanning .
-
Em "Secret scanning" clique no alerta que você deseja exibir.
-
Para ignorar um alerta, selecione o menu suspenso "marcar como" e clique em um motivo para resolver um alerta.
Protegendo segredos comprometidos
Uma vez que um segredo tenha sido committed a um repositório, você deve considerar o segredo comprometido. O GitHub recomenda as seguintes ações para segredos comprometidos:
- Para um GitHub personal access token comprometido, exclua o token comprometido, crie um novo token e atualize qualquer serviço que usa o token antigo. Para obter mais informações, confira "Criando um token de acesso pessoal".
- Para todos os outros segredos, primeiro, verifique se o segredo confirmado no GitHub Enterprise Server é válido. Nesse caso, crie um segredo, atualize todos os serviços que usam o segredo antigo e, em seguida, exclua o segredo antigo.
Configurar notificações para alertas de verificação de segredo
Quando um novo segredo é detectado, o GitHub Enterprise Server notifica todos os usuários com acesso aos alertas de segurança do repositório de acordo com as preferências de notificação. Você receberá uma notificação por email se estiver inspecionando o repositório, se tiver habilitado as notificações de alertas de segurança ou de todas as atividades no repositório ou se você for o autor do commit que contém o segredo e não estiver ignorando o repositório.
Para obter mais informações, confira "Gerenciando as configurações de segurança e análise do repositório" e "Configurar notificações."
Auditoria de respostas a alertas de verificação de segredo
Você pode auditar as ações executadas em resposta aos alertas do secret scanning usando as ferramentas do GitHub. Para obter mais informações, confira "Alertas de segurança de auditoria".