Skip to main content

Configurar a verificação de segredo para seus repositórios

Você pode configurar como o GitHub verifica seus repositórios em busca de segredos vazados e alertas gerados.

Who can use this feature

People with admin permissions to a repository can enable secret scanning for the repository.

A Secret scanning está disponível para os repositórios pertencentes a uma organização no GitHub Enterprise Server se a sua empresa tem uma licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre secret scanning no GitHub Enterprise Server" e "Sobre a GitHub Advanced Security."

Observação: o administrador do site precisa habilitar a secret scanning no your GitHub Enterprise Server instance para que você possa usar esse recurso. Para obter mais informações, confira "Como configurar a secret scanning para seu dispositivo".

Como habilitar os secret scanning

Você pode habilitar os secret scanning para qualquer repositório que pertença a uma organização. Depois de habilitado, secret scanning verifica todos segredos em todo o histórico do Git em todos os branches presentes no repositório GitHub.

  1. No your GitHub Enterprise Server instance, navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Configurações. Botão Configurações do repositório

  2. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

  3. Se o Advanced Security ainda não estiver habilitado no repositório, à direita de "GitHub Advanced Security", clique em Habilitar. Habilitar o GitHub Advanced Security no seu repositório

  4. Revise o impacto da habilitação do Advanced Security e clique em Habilitar o GitHub Advanced Security neste repositório.

  5. Quando você habilitar Advanced Security, secret scanning pode ser habilitado automaticamente para o repositório, devido às configurações da organização. Se "Secret scanning" for mostrado com um botão Habilitar, você ainda precisará habilitar a secret scanning clicando em Habilitar. Se um botão Desabilitar for exibido, a secret scanning já estará habilitada. Habilitar a secret scanning no seu repositório

  6. Opcionalmente, caso deseje habilitar a proteção por push, clique em Habilitar à direita de "Proteção por push". Quando você habilita a proteção por push, a secret scanning também verifica os pushes em busca de segredos de alta confiança (aqueles identificados com uma baixa taxa de falsos positivos). A Secret scanning lista todos os segredos detectados para que o autor possa revisar os segredos e removê-los ou, se necessário, permitir que esses segredos sejam enviados por push. Para obter mais informações, confira "Como proteger pushes com a secret scanning". Habilitar a proteção por push no seu repositório

Como excluir diretórios dos secret scanning

Use um arquivo secret_scanning.yml para excluir diretórios da secret scanning. Por exemplo, você pode excluir diretórios que contenham testes ou conteúdo gerado aleatoriamente.

  1. No your GitHub Enterprise Server instance, navegue até a página principal do repositório. 1. Acima da lista de arquivos, usando o menu suspenso Adicionar arquivo, clique em Criar arquivo. "Criar arquivo" no menu suspenso "Adicionar arquivo"

  2. No campo de nome do arquivo, digite .github/secret_scanning.yml.

  3. Em Editar novo arquivo, digite paths-ignore: seguido dos caminhos que deseja excluir da secret scanning.

    paths-ignore:
      - "foo/bar/*.js"
    

    Você pode usar caracteres especiais, como * para filtrar caminhos. Para obter mais informações sobre os padrões de filtro, confira "Sintaxe de fluxo de trabalho do GitHub Actions".

    Observações:

    • Se houver mais de mil entradas em paths-ignore, a secret scanning excluirá apenas os primeiros mil diretórios das verificações.
    • Se secret_scanning.yml for maior que 1 MB, a secret scanning vai ignorar todo o arquivo.

Você também pode ignorar alertas individuais de secret scanning. Para obter mais informações, confira "Como gerenciar alertas da secret scanning".

Leitura adicional