Atualmente o GitHub AE está em versão limitada.

Sobre a verificação de segredo

Escanear em busca de segredos

1 de 8 no roteiro de aprendizagem
Avançar:Configurar a verificação de segredo para seus repositórios

Neste artigo

O GitHub AE verifica repositórios em busca de tipos de segredos conhecidos a fim de impedir o uso fraudulento de segredos que sofreram commit acidentalmente.

A Secret scanning está disponível para os repositórios pertencentes à organização no GitHub AE. Esse é um recurso do GitHub Advanced Security (gratuito durante a versão beta).

Sobre a secret scanning

Se o seu projeto se comunicar com um serviço externo, você pode usar um token ou uma chave privada para autenticação. Tokens e chaves privadas são exemplos de segredos que um provedor de serviços pode publicar. Se você marcar um segredo em um repositório, qualquer pessoa que tenha acesso de leitura ao repositório pode usar o segredo para acessar o serviço externo com seus privilégios. Recomendamos que você armazene segredos em um local dedicado e seguro fora do repositório do seu projeto.

A Secret scanning verificará todo o histórico do Git em todos os branches presentes no repositório do GitHub em busca de segredos, mesmo que o repositório esteja arquivado.

Você pode auditar as ações executadas em resposta aos alertas do secret scanning usando as ferramentas do GitHub. Para obter mais informações, confira "Alertas de segurança de auditoria".

Você também pode habilitar a secret scanning como uma proteção por push para um repositório ou uma organização. Quando você habilita esse recurso, a secret scanning impede que os colaboradores efetuem push de um código com um segredo detectado. Para continuar, os colaboradores precisam remover os segredos do push ou, se necessário, ignorar a proteção. Para obter mais informações, confira "Proteção por push para repositórios e organizações".

Observação: quando você cria fork em um repositório com secret scanning ou proteção por push habilitada, esses recursos não são habilitados por padrão no fork. Você pode habilitar secret scanning ou proteger por push no fork da mesma forma que os habilita em um repositório autônomo.

Sobre os verificação de segredo no GitHub AE

Verificação de segredo está disponível em todos os repositórios de propriedade da organização como parte do GitHub Advanced Security. O recurso não está disponível em repositórios de propriedade do usuário. Quando você habilita secret scanning para um repositório, GitHub verifica o código em busca de padrões que correspondam aos segredos usados por muitos provedores de serviços.

Quando um segredo com suporte é vazado, o GitHub AE gera um alerta da secret scanning. Para obter mais informações, confira "Padrões dos Secret scanning".

Se você for administrador do repositório, será possível habilitar os verificação de segredo em qualquer repositório , incluindo os repositórios arquivados. Os proprietários da organização também podem habilitar verificação de segredo para todos os repositórios ou para todos os novos repositórios em uma organização. Para obter mais informações, confira "Gerenciando as configurações de segurança e análise do repositório" e "Gerenciando as configurações de segurança e de análise da sua organização."

Você também pode definir padrões personalizados da secret scanning para um repositório, organização ou empresa. Para obter mais informações, confira "Definir padrões personalizados para a verificação de segredo".

Como acessar os alertas de verificação de segredo

Quando você habilita secret scanning para um repositório ou envia commits por push a um repositório com a secret scanning habilitada, o GitHub verifica o conteúdo em busca de segredos que correspondam aos padrões definidos pelos provedores de serviço e aos padrões personalizados definidos na empresa, na organização ou no repositório .

Se secret scanning detectar um segredo em um commit, GitHub gerará um alerta.

  • O GitHub envia um alerta de email para os administradores do repositório e proprietários da organização. Você receberá um alerta se estiver inspecionando o repositório, se tiver habilitado notificações para alertas de segurança ou para todas as atividades no repositório.
  • Se a pessoa que introduziu o segredo no commit não estiver ignorando o repositório, GitHub também enviará um alerta por email. Os emails contêm um link para o alerta secret scanning relacionado. A pessoa que introduziu o segredo pode visualizar o alerta no repositório e resolver o alerta.
  • GitHub exibe um alerta na guia Segurança do repositório.

Para obter mais informações sobre a visualização e resolução alertas de verificação de segredo, confira "Gerenciar alertas da verificação de segredo."

Os administradores do repositório e os proprietários da organização podem permitir acesso aos usuários e às equipes aos alertas de verificação de segredo. Para obter mais informações, confira "Gerenciando as configurações de segurança e análise do repositório".

Use a visão geral de segurança para ver uma exibição no nível da organização dos repositórios em que a secret scanning está habilitada e em que alertas foram encontrados. Para obter mais informações, confira "Sobre a visão geral de segurança".

Use também a API REST para monitorar os resultados da secret scanning nos seus repositórios. Para obter mais informações sobre pontos de extremidade da API, confira "Verificação de segredo".

Leitura adicional

AvançarConfigurar a verificação de segredo para seus repositórios