Como proteger pushes com a verificação de segredos

Sobre a proteção por push para segredos

Até agora, a secret scanning verifica se há segredos após um push e alerta os usuários sobre os segredos expostos. Quando você habilita a proteção por push, a secret scanning também verifica os pushes em busca de segredos de alta confiança (aqueles identificados com uma baixa taxa de falsos positivos). A Secret scanning lista todos os segredos detectados para que o autor possa revisar os segredos e removê-los ou, se necessário, permitir que esses segredos sejam enviados por push.

Se um colaborador ignorar um bloco de proteção por push para um segredo, GitHub:

• cria um alerta na guia Segurança do repositório no estado descrito na tabela abaixo.
• adicionará o evento bypass ao log de auditoria.

Esta tabela mostra o comportamento dos alertas referente a cada maneira como o usuário pode ignorar um bloco de proteção por push.

Motivo do bypass	Comportamento do alerta
É usado em testes	O GitHub cria um alerta fechado, que é resolvido como "usado em testes"
Isso é um falso positivo	O GitHub cria um alerta fechado, que é resolvido como "falso positivo"
Farei a correção mais tarde	O GitHub cria um alerta aberto

Para obter informações sobre os segredos e provedores de serviços com suporte para proteção por push, confira "Padrões de digitalização de segredo".

Como habilitar a secret scanning como uma proteção por push

Para que você use a secret scanning como uma proteção contra push, a organização ou o repositório precisa ter o GitHub Advanced Security e a secret scanning habilitado. Para saber mais, confira "Gerenciando as configurações de segurança e de análise da sua organização", "Gerenciando as configurações de segurança e análise do repositório" e "Sobre a Segurança Avançada do GitHub".

Os proprietários da organização, os gerentes de segurança e os administradores de repositório podem habilitar a proteção por push na secret scanning por meio da interface do usuário e da API. Para saber mais, confira "Repositórios" e expanda a seção "Propriedades do objeto security_and_analysis" na documentação da API REST.

Como habilitar a secret scanning como uma proteção por push para uma organização

1. No sua instância do GitHub Enterprise Server, navegue até a página principal da organização. 1. No nome da sua organização, clique em Configurações.

   

2. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

3. Em "Segurança e análise de código", encontre o "GitHub Advanced Security". 1. Em "Secret scanning", em "Proteção por push", clique em Habilitar tudo.

4. Opcionalmente, clique em "Habilitar automaticamente para repositórios adicionados aosecret scanning".

Como habilitar a secret scanning como uma proteção por push para um repositório

1. No sua instância do GitHub Enterprise Server, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia suspensa "Configurações", selecione o menu suspenso e clique em Configurações.

   

2. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

3. Em "Segurança e análise de código", encontre o "GitHub Advanced Security". 1. Em "Secret scanning", em "Proteção por push", clique em Habilitar.

Usar a verificação de segredos como uma proteção por push da linha de comando

Quando você tentar efetuar push de um segredo compatível para um repositório ou uma organização com a secret scanning como uma proteção por push habilitada, o GitHub bloqueará o push. Você pode remover o segredo do branch ou seguir uma URL fornecida para permitir o push.

Até cinco segredos detectados serão exibidos por vez na linha de comando. Se um segredo específico já tiver sido detectado no repositório e um alerta já existir, o GitHub não bloqueará esse segredo.

Se você confirmar que um segredo é real, precisará remover o segredo do branch, de todos os commits em que ele aparece, antes de efetuar push novamente. Para saber mais sobre como corrigir segredos bloqueados, confira "Efetuar push de um branch bloqueado pela proteção por push".

Se você confirmar que um segredo é real e que pretende corrigi-lo mais tarde, tente corrigi-lo o mais rápido possível. Por exemplo, você pode revogar o segredo e removê-lo do histórico de commits do repositório. Segredos reais que foram expostos devem ser revogados para evitar acesso não autorizado. Você pode considerar primeiro rotacionar o segredo antes de revogá-lo. Para obter mais informações, confira "Remover dados confidenciais de um repositório".

Como permitir o push de um segredo bloqueado

Se o GitHub bloquear um segredo que você acredita ser seguro para push, permita o segredo e especifique o motivo pelo qual ele deve ser permitido.

Quando você permite que um segredo seja enviado por push, um alerta será criado na guia Segurança. GitHub fecha o alerta e não envia uma notificação se você especificar que o segredo é um falso positivo ou usado apenas em testes. Se você especificar que o segredo é real e que o corrigirá mais tarde, GitHub manterá o alerta de segurança aberto e enviará notificações ao autor do commit, bem como aos administradores do repositório. Para obter mais informações, confira "Gerenciar alertas da verificação de segredo".

1. Acesse a URL retornada pelo GitHub quando o push foi bloqueado. 2. Escolha a opção que melhor descreve o motivo pelo qual você deve conseguir efetuar push do segredo.
   • Se o segredo for usado apenas em testes e não representar nenhuma ameaça, clique em Ele é usado em testes.
   • Se a cadeia de caracteres detectada não for um segredo, clique em É um falso positivo.
   • Se o segredo for real, mas você pretender corrigi-lo mais tarde, clique em Corrigirei mais tarde.
2. Clique em Permitir que eu efetue push deste segredo.
3. Tente efetuar push novamente na linha de comando em até três horas. Se você não efetuar push em até três horas, precisará repetir esse processo.