Observação: o administrador do site precisa habilitar a secret scanning no sua instância do GitHub Enterprise Server para que você possa usar esse recurso. Para obter mais informações, confira "Configurar a varredura de segredo para o seu dispositivo".
Talvez você não consiga habilitar ou desabilitar a secret scanning se um proprietário da empresa tiver definido uma política no nível da empresa. Para obter mais informações, confira "Como impor políticas para segurança e análise de código na empresa".
Sobre a proteção por push para repositórios e organizações
Até agora, a secret scanning verifica se há segredos após um push e alerta os usuários sobre os segredos expostos. Quando você habilita a proteção por push na organização ou no repositório, a secret scanning também verifica pushes para segredos com suporte. O Secret scanning lista todos os segredos que detecta, para que o autor possa examinar os segredos e removê-los ou, se necessário, permitir que esses segredos sejam enviados por push. Secret scanning também podem verificar pushes em busca de padrões personalizados. Para obter mais informações, consulte "Definir padrões personalizados para a verificação de segredo."
Se um colaborador ignorar um bloco de proteção por push para um segredo, GitHub:
- criará um alerta na guia Segurança do repositório.
- adiciona o evento bypass ao log de auditoria.
- envia um alerta por email para proprietários da organização ou da conta pessoal, gerentes de segurança e administradores de repositório que estiverem inspecionando o repositório, com um link para o segredo e o motivo pelo qual ele foi permitido.
Esta tabela mostra o comportamento dos alertas referente a cada maneira como o usuário pode ignorar um bloco de proteção por push.
Motivo do bypass | Comportamento do alerta |
---|---|
É usado em testes | O GitHub cria um alerta fechado, que é resolvido como "usado em testes" |
Isso é um falso positivo | O GitHub cria um alerta fechado, que é resolvido como "falso positivo" |
Farei a correção mais tarde | O GitHub cria um alerta aberto |
É possível monitorar os alertas de segurança para descobrir quando os usuários ignoram as proteções de push e criam alertas. Para obter mais informações, confira "Alertas de segurança de auditoria".
Para obter informações sobre os segredos e provedores de serviços com suporte para proteção por push, confira "Padrões de digitalização de segredo".
Como habilitar a secret scanning como uma proteção por push
Para que você use secret scanning como uma proteção por push em repositórios públicos, a empresa, a organização, ou o repositório precisa ter a secret scanning habilitada. Para saber mais, confira "Como gerenciar os recursos do GitHub Advanced Security na empresa," "Gerenciando as configurações de segurança e de análise da sua organização," "Gerenciando as configurações de segurança e análise do repositório" e "Sobre a Segurança Avançada do GitHub."
Os proprietários da organização, os gerentes de segurança e os administradores de repositório podem habilitar a proteção por push na secret scanning por meio da API. Para saber mais, confira "Pontos de extremidade da API REST para repositórios" e expanda a seção "Propriedades do objeto security_and_analysis
".
Os proprietários da organização podem fornecer um link personalizado que será exibido quando um push for bloqueado. Esse link personalizado pode conter recursos e conselhos específicos da organização, como instruções sobre como usar um cofre de segredos recomendado ou para quem entrar em contato para perguntas relacionadas ao segredo bloqueado.
Os administradores corporativos também podem habilitar ou desabilitar a secret scanning como uma proteção por push para a empresa por meio da API. Para obter mais informações, confira "Pontos de extremidade da API REST para segurança e análise de código corporativo".
Observação: quando você cria fork em um repositório com secret scanning como uma proteção por push habilitada, isso não é habilitado por padrão no fork. Você pode habilitá-lo no fork da mesma forma que o habilita em um repositório autônomo.
Habilitar a secret scanning como uma proteção por push da empresa
-
No canto superior à direita de GitHub Enterprise Server, clique na sua foto do perfil e clique em Configurações da empresa.
-
Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Configurações.
-
Na barra lateral esquerda, clique em Segurança e análise de código.
-
Em "Secret scanning", em "Proteção por push", clique em Habilitar tudo.
-
Opcionalmente, clique em Habilitar automaticamente para repositórios adicionados à secret scanning.
-
Opcionalmente, para incluir um link personalizado na mensagem que os membros verão quando tentarem enviar um segredo por push, clique em Adicionar um link de recurso na CLI e na interface do usuário da Web quando um commit for bloqueado, digite uma URL e clique em Salvar link.
Habilitar a secret scanning como uma proteção por push para uma organização
Você pode usar a página de configurações da organização para "Segurança e análise de código" para habilitar ou desabilitar secret scanning como uma proteção por push de todos os repositórios existentes em uma organização.
-
No sua instância do GitHub Enterprise Server, navegue até a página principal da organização.
-
No nome da sua organização, clique Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
-
Em "Segurança e análise de código", encontre o "GitHub Advanced Security".
-
Em "Secret scanning", em "Proteção por push", clique em Habilitar tudo.
-
Opcionalmente, clique em Habilitar automaticamente para repositórios adicionados ao secret scanning.
-
Opcionalmente, para incluir um link personalizado na mensagem que os membros verão quando tentarem enviar um segredo por push, selecione Adicionar um link de recurso na CLI e na interface do usuário da Web quando uma confirmação for bloqueada, então digite uma URL e clique em Salvar link.
Para obter mais informações sobre como habilitar recursos de segurança em uma organização, confira "Guia de início rápido da proteção da sua organização".
Como habilitar a secret scanning como uma proteção por push para um repositório
-
No sua instância do GitHub Enterprise Server, navegue até a página principal do repositório.
-
Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
-
Em "Segurança e análise de código", encontre o "GitHub Advanced Security".
-
Em "Secret scanning", em "Proteção por push", clique em Habilitar.
Habilitar a proteção por push para um padrão personalizado
Você pode habilitar secret scanning como uma proteção por push para padrões personalizados armazenados em no nível da empresa, da organização ou do repositório.
Habilitar a proteção por push para um padrão personalizado armazenado em uma empresa
Observações:
- Para habilitar a proteção de push para padrões personalizados, é preciso habilitar o secret scanning como a proteção de push no nível corporativo. Para obter mais informações, confira "Proteção por push para repositórios e organizações".
- Habilitar a proteção de push para padrões personalizados comumente encontrados pode ser prejudicial para os colaboradores.
Antes de habilitar a proteção por push para um padrão personalizado no nível da empresa, você também deve testar seus padrões personalizados usando simulações. Você só pode executar uma simulação em repositórios aos quais você tem acesso de administração. Se um proprietário da empresa quiser acesso para executar simulações em qualquer repositório em uma organização, ele deverá receber a função de proprietário da organização. Para obter mais informações, confira "Gerenciando sua função em uma organização pertencente à sua empresa".
-
No canto superior à direita de GitHub Enterprise Server, clique na sua foto do perfil e clique em Configurações da empresa.
-
Do lado esquerdo da página, na barra lateral da conta empresarial, clique em Políticas. 1. Em "Políticas", clique em Segurança e análise de código.
-
Em "Segurança e análise de código", clique em Recursos de segurança. 1. Em "Secret scanning", em "Padrões personalizados", clique em para o padrão de interesse.
Note
No nível empresarial, você só pode editar e habilitar a proteção por push para padrões personalizados criados por você.
-
Para habilitar a proteção por push para seu padrão personalizado, role a tela até "Proteção por Push" e clique em Habilitar.
Note
A opção para ativar a proteção por push é visível apenas para padrões publicados.
Habilitar secret scanning como uma proteção por push para um padrão personalizado em uma organização
Antes de habilitar a proteção por push para um padrão personalizado no nível da organização, você deve habilitar secret scanning para os repositórios que deseja digitalizar em sua organização. Para habilitar o secret scanning em todos os repositórios da sua organização, confira "Gerenciando as configurações de segurança e de análise da sua organização".
-
No canto superior direito de GitHub, selecione sua foto de perfil e selecione Suas organizações.
-
Ao lado da organização, clique em Configurações.
-
Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
-
Em "Segurança e análise de código", encontre o "GitHub Advanced Security".
-
Em "Secret scanning", em "Padrões personalizados", clique em para o padrão de interesse.
-
Para habilitar a proteção por push para seu padrão personalizado, role a tela até "Proteção por Push" e clique em Habilitar.
Observações:
- A opção para ativar a proteção por push é visível apenas para padrões publicados.
- A proteção de push para padrões personalizados será aplicada somente a repositórios em sua organização que tenham o secret scanning como uma proteção de push habilitada. Para obter mais informações, confira "Proteção por push para repositórios e organizações".
- Habilitar a proteção de push para padrões personalizados comumente encontrados pode ser prejudicial para os colaboradores.
Habilitar secret scanning como uma proteção por push em um repositório para um padrão personalizado
Antes de habilitar a proteção por push para um padrão personalizado no nível do repositório, você deve definir o padrão e testá-lo no repositório. Para obter mais informações, confira "Definir padrões personalizados para a verificação de segredo".
-
No sua instância do GitHub Enterprise Server, navegue até a página principal do repositório.
-
Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.
-
Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.
-
Em "Segurança e análise de código", encontre o "GitHub Advanced Security".
-
Em "Secret scanning", em "Padrões personalizados", clique em para o padrão de interesse.
-
Para habilitar a proteção por push para seu padrão personalizado, role a tela até "Proteção por Push" e clique em Habilitar.
Note
A opção para ativar a proteção por push é visível apenas para padrões publicados.