Observação: o administrador do site precisa habilitar a secret scanning no sua instância do GitHub Enterprise Server para que você possa usar esse recurso. Para obter mais informações, confira "Configurar a varredura de segredo para o seu dispositivo".
Sobre os alertas de secret scanning
Quando verificação de segredo é habilitado, o GitHub examina os repositórios em busca de segredos emitidos por uma grande variedade de provedores de serviços e gera alertas de verificação de segredo.
Você pode ver esses alertas na guia Segurança do repositório.
Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. Isso garante que os vazamentos mais críticos não estejam ocultos por trás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.
Se você usa a API REST para verificação de segredo, pode usar o Secret type para relatar segredos de emissores específicos. Para obter mais informações, confira "Secret scanning".
Observação: você também pode definir padrões personalizados da secret scanning para seu repositório, sua organização ou sua empresa. Para obter mais informações, confira "Definir padrões personalizados para a verificação de segredo".
Sobre os alertas de proteção por push
Os alertas de proteção por push são alertas de usuário relatados pela proteção. Atualmente, o Secret scanning atua como uma proteção por push e verifica os repositórios em busca de segredos emitidos por alguns provedores de serviços.
Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. Isso garante que os vazamentos mais críticos não estejam ocultos por trás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.
Versões mais antigas de determinados tokens podem não ter suporte da proteção de push, pois esses tokens podem gerar um número maior de falsos positivos do que sua versão mais recente. A proteção de push também pode não se aplicar a tokens herdados. Para tokens como Chaves do Armazenamento do Azure, o GitHub só dá suporte a tokens criados recentemente, não a tokens que correspondem aos padrões herdados. Para obter mais informações sobre limitações de proteção de push, confira "Solução de problemas com a varredura de segredos".
Segredos compatíveis
Esta tabela lista os segredos compatíveis com o secret scanning. Veja os tipos de alertas gerados para cada token.
- Provedor – Nome do provedor de token.
- Alerta do Secret scanning – token para o qual vazamentos são relatados aos usuários no GitHub. Aplica-se aos repositórios privados em que o GitHub Advanced Security e o secret scanning estão habilitados.
- Proteção por push – token para o qual vazamentos são relatados aos usuários no GitHub. Aplica-se aos repositórios com o secret scanning e a proteção por push habilitada.
| Provedor | Token | Secret scanning alert | Proteção por push |
|---|---|---|---|
| Adafruit IO | adafruit_io_key | ||
| Adobe | adobe_device_token | ||
| Adobe | adobe_jwt | ||
| Adobe | adobe_service_token | ||
| Adobe | adobe_short_lived_access_token | ||
| Alibaba Cloud | alibaba_cloud_access_key_id alibaba_cloud_access_key_secret | ||
| Amazon | amazon_oauth_client_id amazon_oauth_client_secret | ||
| Amazon Web Services (AWS) | aws_access_key_id aws_secret_access_key | ||
| Amazon Web Services (AWS) | aws_session_token aws_temporary_access_key_id aws_secret_access_key | ||
| Asana | asana_personal_access_token | ||
| Atlassian | atlassian_api_token | ||
| Atlassian | atlassian_jwt | ||
| Atlassian | bitbucket_server_personal_access_token | ||
| Azure | azure_active_directory_application_secret | ||
| Azure | azure_cache_for_redis_access_key | ||
| Azure | azure_devops_personal_access_token | ||
| Azure | azure_function_key | ||
| Azure | azure_sas_token | ||
| Azure | azure_management_certificate | ||
| Azure | azure_sql_connection_string | ||
| Beamer | beamer_api_key | ||
| Checkout.com | checkout_production_secret_key | ||
| Checkout.com | checkout_test_secret_key | ||
| Clojars | clojars_deploy_token | ||
| CloudBees CodeShip | codeship_credential | ||
| Contentful | contentful_personal_access_token | ||
| Databricks | databricks_access_token | ||
| DigitalOcean | digitalocean_oauth_token | ||
| DigitalOcean | digitalocean_personal_access_token | ||
| DigitalOcean | digitalocean_refresh_token | ||
| DigitalOcean | digitalocean_system_token | ||
| Discord | discord_bot_token | ||
| Doppler | doppler_audit_token | ||
| Doppler | doppler_cli_token | ||
| Doppler | doppler_personal_token | ||
| Doppler | doppler_scim_token | ||
| Doppler | doppler_service_token | ||
| Dropbox | dropbox_access_token | ||
| Dropbox | dropbox_short_lived_access_token | ||
| Duffel | duffel_live_access_token | ||
| Duffel | duffel_test_access_token | ||
| Dynatrace | dynatrace_access_token | ||
| Dynatrace | dynatrace_internal_token | ||
| EasyPost | easypost_production_api_key | ||
| EasyPost | easypost_test_api_key | ||
| Fastly | fastly_api_token | ||
| Finicity | finicity_app_key | ||
| Flutterwave | flutterwave_live_api_secret_key | ||
| Flutterwave | flutterwave_test_api_secret_key | ||
| Frame.io | frameio_developer_token | ||
| Frame.io | frameio_jwt | ||
| FullStory | fullstory_api_key | ||
| GitHub | github_app_installation_access_token | ||
| GitHub | github_oauth_access_token | ||
| GitHub | github_personal_access_token | ||
| GitHub | github_refresh_token | ||
| GitHub | github_ssh_private_key | ||
| GitLab | gitlab_access_token | ||
| GoCardless | gocardless_live_access_token | ||
| GoCardless | gocardless_sandbox_access_token | ||
| firebase_cloud_messaging_server_key | |||
| google_cloud_storage_service_account_access_key_id google_cloud_storage_access_key_secret | |||
| google_cloud_storage_user_access_key_id google_cloud_storage_access_key_secret | |||
| google_oauth_access_token | |||
| google_oauth_client_id google_oauth_client_secret | |||
| google_oauth_refresh_token | |||
| Google Cloud | google_api_key | ||
| Google Cloud | google_cloud_private_key_id | ||
| HashiCorp | hashicorp_vault_batch_token | ||
| HashiCorp | hashicorp_vault_service_token | ||
| Hashicorp Terraform | terraform_api_token | ||
| Hubspot | hubspot_api_key | ||
| Intercom | intercom_access_token | ||
| Ionic | ionic_personal_access_token | ||
| Ionic | ionic_refresh_token | ||
| JD Cloud | jd_cloud_access_key | ||
| Linear | linear_api_key | ||
| Linear | linear_oauth_access_token | ||
| Lob | lob_live_api_key | ||
| Lob | lob_test_api_key | ||
| Mailchimp | mailchimp_api_key | ||
| Mailgun | mailgun_api_key | ||
| Mapbox | mapbox_secret_access_token | ||
| MessageBird | messagebird_api_key | ||
| Meta | facebook_access_token | ||
| Midtrans | midtrans_production_server_key | ||
| Midtrans | midtrans_sandbox_server_key | ||
| New Relic | new_relic_insights_query_key | ||
| New Relic | new_relic_license_key | ||
| New Relic | new_relic_personal_api_key | ||
| New Relic | new_relic_rest_api_key | ||
| Notion | notion_integration_token | ||
| Notion | notion_oauth_client_secret | ||
| npm | npm_access_token | ||
| NuGet | nuget_api_key | ||
| Octopus Deploy | octopus_deploy_api_key | ||
| Onfido | onfido_live_api_token | ||
| Onfido | onfido_sandbox_api_token | ||
| OpenAI | openai_api_key | ||
| Palantir | palantir_jwt | ||
| PlanetScale | planetscale_database_password | ||
| PlanetScale | planetscale_oauth_token | ||
| PlanetScale | planetscale_service_token | ||
| Plivo | plivo_auth_id plivo_auth_token | ||
| Postman | postman_api_key | ||
| Proctorio | proctorio_consumer_key | ||
| Proctorio | proctorio_linkage_key | ||
| Proctorio | proctorio_registration_key | ||
| Proctorio | proctorio_secret_key | ||
| Pulumi | pulumi_access_token | ||
| PyPI | pypi_api_token | ||
| redirect.pizza | redirect_pizza_api_token | ||
| RubyGems | rubygems_api_key | ||
| Samsara | samsara_api_token | ||
| Samsara | samsara_oauth_access_token | ||
| SendGrid | sendgrid_api_key | ||
| Sendinblue | sendinblue_api_key | ||
| Sendinblue | sendinblue_smtp_key | ||
| Shippo | shippo_live_api_token | ||
| Shippo | shippo_test_api_token | ||
| Shopify | shopify_access_token | ||
| Shopify | shopify_app_client_credentials | ||
| Shopify | shopify_app_client_secret | ||
| Shopify | shopify_app_shared_secret | ||
| Shopify | shopify_custom_app_access_token | ||
| Shopify | shopify_marketplace_token | ||
| Shopify | shopify_merchant_token | ||
| Shopify | shopify_partner_api_token | ||
| Shopify | shopify_private_app_password | ||
| Slack | slack_api_token | ||
| Slack | slack_incoming_webhook_url | ||
| Slack | slack_workflow_webhook_url | ||
| Square | square_access_token | ||
| Square | square_production_application_secret | ||
| Square | square_sandbox_application_secret | ||
| SSLMate | sslmate_api_key | ||
| SSLMate | sslmate_cluster_secret | ||
| Stripe | stripe_live_restricted_key | ||
| Stripe | stripe_api_key | ||
| Stripe | stripe_legacy_api_key | ||
| Stripe | stripe_test_restricted_key | ||
| Stripe | stripe_test_secret_key | ||
| Stripe | stripe_webhook_signing_secret | ||
| Supabase | supabase_service_key | ||
| Tableau | tableau_personal_access_token | ||
| Telegram | telegram_bot_token | ||
| Tencent Cloud | tencent_cloud_secret_id | ||
| Twilio | twilio_access_token | ||
| Twilio | twilio_account_sid | ||
| Twilio | twilio_api_key | ||
| Typeform | typeform_personal_access_token | ||
| WorkOS | workos_production_api_key | ||
| WorkOS | workos_staging_api_key | ||
| Yandex | yandex_iam_access_secret | ||
| Yandex | yandex_cloud_api_key | ||
| Yandex | yandex_cloud_iam_cookie | ||
| Yandex | yandex_cloud_iam_token | ||
| Yandex | yandex_dictionary_api_key | ||
| Yandex | yandex_predictor_api_key | ||
| Yandex | yandex_translate_api_key |
Leitura adicional
- "Proteger o repositório"
- "Proteger sua conta e dados"
- "Programa de verificação de segredo de parceiros" na documentação do GitHub Enterprise Cloud