Skip to main content

Sobre a verificação de segredo

O GitHub Enterprise Server verifica repositórios em busca de tipos de segredos conhecidos a fim de impedir o uso fraudulento de segredos que sofreram commit acidentalmente.

A Secret scanning está disponível para os repositórios pertencentes a uma organização no GitHub Enterprise Server se a sua empresa tem uma licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre secret scanning no GitHub Enterprise Server" e "Sobre a GitHub Advanced Security."

Observação: o administrador do site precisa habilitar a secret scanning no your GitHub Enterprise Server instance para que você possa usar esse recurso. Para obter mais informações, confira "Como configurar a secret scanning para seu dispositivo".

Sobre a secret scanning

Se o seu projeto se comunicar com um serviço externo, você pode usar um token ou uma chave privada para autenticação. Tokens e chaves privadas são exemplos de segredos que um provedor de serviços pode publicar. Se você marcar um segredo em um repositório, qualquer pessoa que tenha acesso de leitura ao repositório pode usar o segredo para acessar o serviço externo com seus privilégios. Recomendamos que você armazene segredos em um local dedicado e seguro fora do repositório do seu projeto.

A Secret scanning verificará todo o histórico do Git em todos os branches presentes no repositório do GitHub em busca de segredos, mesmo que o repositório esteja arquivado.

Os provedores de serviço podem fazer parceria com o GitHub para fornecer os respectivos formatos de segredo para verificação. Para saber mais sobre nosso programa de parceiros, confira "Programa de parceiros da Secret scanning na documentação do GitHub Enterprise Cloud.

Você também pode habilitar a secret scanning como uma proteção por push para um repositório ou uma organização. Quando você habilita esse recurso, a secret scanning impede que os colaboradores efetuem push de um código com um segredo detectado. Para continuar, os colaboradores precisam remover os segredos do push ou, se necessário, ignorar a proteção. Para obter mais informações, confira "Como proteger pushes com secret scanning".

Sobre os secret scanning no GitHub Enterprise Server

O ou os Secret scanning está disponível ou disponíveis em todos os repositórios de propriedade da organização como parte do GitHub Advanced Security. O recurso não está disponível em repositórios pertencentes a usuários. Quando você habilita a secret scanning em um repositório, o GitHub verifica o código em busca de padrões que correspondam aos segredos usados por vários provedores de serviços. Quando um segredo com suporte é vazado, o GitHub Enterprise Server gera um alerta da secret scanning. Para obter mais informações, confira "Padrões dos Secret scanning".

Se você é administrador do repositório, pode habilitar os secret scanning em qualquer repositório, incluindo os repositórios arquivados. Os proprietários da organização também podem habilitar os secret scanning em todos os repositórios ou em todos os novos repositórios de uma organização. Para obter mais informações, confira "Como gerenciar as configurações de segurança e análise para seu repositório" e "Como gerenciar as configurações de segurança e análise para sua organização".

Você também pode definir padrões personalizados de secret scanning para um repositório, uma organização ou uma empresa. Para obter mais informações, confira "Como definir padrões personalizados para a secret scanning".

Como acessar os secret scanning alerts

Quando você habilita secret scanning para um repositório ou envia commits por push a um repositório com a secret scanning habilitada, o GitHub verifica o conteúdo desses commits em busca de segredos que correspondam aos padrões definidos pelos provedores de serviço e aos padrões personalizados definidos na empresa, na organização ou no repositório.

Se secret scanning detectar um segredo, GitHub gera um alerta.

  • O GitHub envia um alerta de email para os administradores do repositório e proprietários da organização. Você receberá um alerta se estiver monitorando o repositório e se tiver ativado notificações para alertas de segurança ou para todas as atividades no repositório.
  • Se o colaborador que cometeu o segredo não estiver ignorando o repositório, GitHub também enviará um alerta por email ao contribuidor. Os emails contêm um link para o alerta secret scanning relacionado. O autor do commit pode visualizar o alerta no repositório e resolver o alerta.
  • GitHub exibe um alerta na guia "Segurança" do repositório.

Para obter mais informações sobre como ver e resolver os secret scanning alerts, confira "Como gerenciar alertas da secret scanning".

Os administradores do repositório e os proprietários da organização podem permitir acesso aos usuários e às equipes aos secret scanning alerts. Para obter mais informações, confira "Como gerenciar as configurações de segurança e de análise do seu repositório".

Use a visão geral de segurança para ver uma exibição no nível da organização dos repositórios em que a secret scanning está habilitada e em que alertas foram encontrados. Para obter mais informações, confira "Como exibir a visão geral de segurança".

Use também a API REST para monitorar os resultados da secret scanning nos seus repositórios ou na sua organização. Para obter mais informações sobre pontos de extremidade de API, confira "Secret scanning".

Leitura adicional