Skip to main content

Configurar a verificação de segredo para seus repositórios

Você pode configurar como GitHub digitaliza os seus repositórios vom relação a segredos que correspondem a padrões avançados de segurança.

Who can use this feature

People with admin permissions to a repository can enable secret scanning for the repository.

Secret scanning is available for organization-owned repositories in GitHub Enterprise Server if your enterprise has a license for GitHub Advanced Security. Para obter mais informações, confira "Sobre o GitHub Advanced Security".

Observação: o administrador do site precisa habilitar a secret scanning para o your GitHub Enterprise Server instance para que você possa usar esse recurso. Para obter mais informações, confira "Como configurar a secret scanning para seu dispositivo".

Como habilitar a secret scanning

Você pode habilitar a secret scanning em qualquer repositório pertencente a uma organização. Uma vez habilitado, secret scanning verifica todos segredos em todo o histórico do Git em todos os branches presentes no repositório GitHub.

  1. No your GitHub Enterprise Server instance, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Configurações. Botão Configurações do repositório

  2. In the "Security" section of the sidebar, click Code security and analysis.

  3. Se o Advanced Security ainda não estiver habilitado no repositório, à direita de "GitHub Advanced Security", clique em Habilitar. Habilitar o GitHub Advanced Security no seu repositório

  4. Revise o impacto da habilitação do Advanced Security e clique em Habilitar o GitHub Advanced Security neste repositório.

  5. Quando você habilitar Advanced Security, secret scanning pode ser habilitado automaticamente para o repositório, devido às configurações da organização. Se "Secret scanning" for mostrado com um botão Habilitar, você ainda precisará habilitar a secret scanning clicando em Habilitar. Se um botão Desabilitar for exibido, a secret scanning já estará habilitada. Habilitar a secret scanning no repositório

  6. Opcionalmente, caso deseje habilitar a proteção por push, clique em Habilitar à direita de "Proteção por push". Quando você habilita a proteção por push, a secret scanning também verifica os pushes em busca de segredos de alta confiança (aqueles identificados com uma baixa taxa de falsos positivos). A Secret scanning lista todos os segredos detectados para que o autor possa revisar os segredos e removê-los ou, se necessário, permitir que esses segredos sejam enviados por push. Para obter mais informações, confira "Como proteger pushes com a secret scanning". Habilitar a proteção por push no seu repositório

Excluindo diretórios de secret scanning

Use um arquivo secret_scanning.yml para excluir diretórios da secret scanning. Por exemplo, você pode excluir diretórios que contenham testes ou conteúdo gerado aleatoriamente.

  1. No your GitHub Enterprise Server instance, navegue até a página principal do repositório. 1. Acima da lista de arquivos, usando o menu suspenso Adicionar arquivo, clique em Criar arquivo. "Criar arquivo" no menu suspenso "Adicionar arquivo"

  2. No campo de nome do arquivo, digite .github/secret_scanning.yml.

  3. Em Editar novo arquivo, digite paths-ignore: seguido dos caminhos que deseja excluir da secret scanning.

    paths-ignore:
      - "foo/bar/*.js"
    

    Você pode usar caracteres especiais, como * para filtrar caminhos. Para obter mais informações sobre os padrões de filtro, confira "Sintaxe de fluxo de trabalho do GitHub Actions".

    Observações:

    • Se houver mais de mil entradas em paths-ignore, a secret scanning excluirá apenas os primeiros mil diretórios das verificações.
    • Se secret_scanning.yml for maior que 1 MB, a secret scanning vai ignorar todo o arquivo.

Você também pode ignorar alertas individuais de secret scanning. Para obter mais informações, confira "Como gerenciar alertas da secret scanning".

Leitura adicional