Atualmente o GitHub AE está em versão limitada.

Gerenciar alertas da verificação de segredo

Neste artigo

Você pode visualizar e fechar alertas de segredos verificados para seu repositório.

Quem pode usar esse recurso

People with admin access to a repository can view and dismiss secret scanning alerts for the repository.

A Secret scanning está disponível para os repositórios pertencentes à organização no GitHub AE. Esse é um recurso do GitHub Advanced Security (gratuito durante a versão beta).

Gerenciar alertas de verificação de segredo

  1. No sua empresa, navegue até a página principal do repositório.
  2. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança. Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.
  3. Na barra lateral esquerda, em "Alertas de vulnerabilidades", clique em Secret scanning .
  4. Em "Secret scanning" clique no alerta que você deseja exibir.
  5. Para ignorar um alerta, selecione o menu suspenso "marcar como" e clique em um motivo para resolver um alerta.

Protegendo segredos comprometidos

Uma vez que um segredo tenha sido committed a um repositório, você deve considerar o segredo comprometido. O GitHub recomenda as seguintes ações para segredos comprometidos:

  • Para um GitHub personal access token comprometido, exclua o token comprometido, crie um novo token e atualize qualquer serviço que usa o token antigo. Para obter mais informações, confira "Gerenciar seus tokens de acesso pessoal".
  • Para todos os outros segredos, primeiro, verifique se o segredo confirmado no GitHub AE é válido. Nesse caso, crie um segredo, atualize todos os serviços que usam o segredo antigo e, em seguida, exclua o segredo antigo.

Configurar notificações para alertas de verificação de segredo

Quando um novo segredo é detectado, o GitHub AE notifica todos os usuários com acesso aos alertas de segurança do repositório de acordo com as preferências de notificação. Esses usuários incluem:

  • Administradores do repositório
  • Gerentes de segurança
  • Usuários com funções personalizadas com acesso de leitura/gravação
  • Proprietários da organização e proprietários da empresa, se forem administradores de repositórios onde os segredos foram vazados

Nota: os autores de commit que fizeram commit acidental de segredos serão notificados, independentemente de suas preferências de notificação.

Você receberá uma notificação por email se:

  • Estiver inspecionando o repositório.
  • Tiver habilitado as notificações para "Todas as atividades" ou para os "Alertas de segurança" personalizados no repositório

Para obter mais informações sobre como configurar as preferências de configurações, confira "Gerenciando as configurações de segurança e análise do repositório" e "Como definir as configurações de inspeção de um repositório individual."

Auditoria de respostas a alertas de verificação de segredo

Você pode auditar as ações executadas em resposta aos alertas do secret scanning usando as ferramentas do GitHub. Para obter mais informações, confira "Alertas de segurança de auditoria".