Atualmente o GitHub AE está em versão limitada.

Configurar a verificação de segredo para seus repositórios

Escanear em busca de segredos

2 de 8 no roteiro de aprendizagem
Avançar:Definir padrões personalizados para a verificação de segredo

Neste artigo

Você pode configurar como o GitHub verifica seus repositórios em busca de segredos vazados e alertas gerados.

Quem pode usar esse recurso

People with admin permissions to a repository can enable secret scanning for the repository.

A Secret scanning está disponível para os repositórios pertencentes à organização no GitHub AE. Esse é um recurso do GitHub Advanced Security (gratuito durante a versão beta).

Como habilitar os verificação de segredo

Você pode habilitar os verificação de segredo para qualquer repositório que pertença a uma organização. Depois de habilitado, secret scanning verifica todos segredos em todo o histórico do Git em todos os branches presentes no repositório GitHub.

Você também pode habilitar secret scanning para vários repositórios em uma organização ao mesmo tempo. Para obter mais informações, confira "Como proteger sua organização".

  1. No sua empresa, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações. Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Segurança de código e análise.

  4. Se o Advanced Security ainda não estiver habilitado no repositório, à direita de "GitHub Advanced Security", clique em Habilitar.

  5. Revise o impacto da habilitação do Advanced Security e clique em Habilitar o GitHub Advanced Security neste repositório.

  6. Quando você habilitar Advanced Security, secret scanning pode ser habilitado automaticamente para o repositório, devido às configurações da organização. Se "Secret scanning" for mostrado com um botão Habilitar, você ainda precisará habilitar a secret scanning clicando em Habilitar. Se um botão Desabilitar for exibido, a secret scanning já estará habilitada.

    Captura de tela da seção "Secret scanning" da página "Análise e segurança de código", com o botão "Habilitar" realçado em um contorno laranja escuro.

  7. Opcionalmente, caso deseje habilitar a proteção por push, clique em Habilitar à direita de "Proteção por push". Quando você habilita a proteção por push na organização ou no repositório, a secret scanning também verifica a presença de segredos de alta confiança (identificados por uma taxa baixa de falsos positivos) nos pushes. A Secret scanning lista todos os segredos detectados para que o autor possa revisar os segredos e removê-los ou, se necessário, permitir que esses segredos sejam enviados por push. Para obter mais informações, confira "Proteção por push para repositórios e organizações". Captura de tela da seção "Secret scanning". Ao lado de um item recuado marcado como "Proteção contra push", o botão "Habilitar" está realçado com um contorno laranja escuro.

  8. Antes de habilitar secret scanning, você precisa habilitar GitHub Advanced Security primeiro. À direita de "GitHub Advanced Security", clique em Habilitar. Habilitar a GitHub Advanced Security para o seu repositório.

  9. Clique em Habilitar o GitHub Advanced Security neste repositório para confirmar a ação. Confirme a habilitação da GitHub Advanced Security para o seu repositório.

  10. À direita de "Secret scanning", clique em Habilitar. Habilite a secret scanning para o seu repositório.

Como excluir diretórios dos verificação de segredo

Você pode configurar um arquivo secret_scanning.yml para excluir diretórios de secret scanning, inclusive quando você usa proteção por push. Por exemplo, você pode excluir diretórios que contenham testes ou conteúdo gerado aleatoriamente.

  1. No sua empresa, navegue até a página principal do repositório.

  2. Acima da lista de arquivos, usando o menu suspenso Adicionar arquivo, clique em Criar arquivo.

  3. No campo de nome do arquivo, digite .github/secret_scanning.yml.

  4. Em Editar novo arquivo, digite paths-ignore: seguido dos caminhos que deseja excluir da secret scanning.

    paths-ignore:
  - "foo/bar/*.js"

    Você pode usar caracteres especiais, como * para filtrar caminhos. Para obter mais informações sobre os padrões de filtro, confira "Sintaxe de fluxo de trabalho do GitHub Actions".

    Observações:

    • Se houver mais de mil entradas em paths-ignore, a secret scanning excluirá apenas os primeiros mil diretórios das verificações.
    • Se secret_scanning.yml for maior que 1 MB, a secret scanning vai ignorar todo o arquivo.

Você também pode ignorar alertas individuais de secret scanning. Para obter mais informações, confira "Gerenciar alertas da verificação de segredo".

Leitura adicional

AnteriorSobre a verificação de segredoAvançarDefinir padrões personalizados para a verificação de segredo