Sobre solicitações de desvio para proteção por push

Saiba como funcionam as solicitações de desvio quando a proteção por push bloqueia commits que contêm segredos.

Quem pode usar esse recurso?

  • Proprietários da organização
  • Gerentes de segurança
  • Usuários em equipes, funções padrão ou funções personalizadas que foram adicionadas à lista de bypass.
  • Usuários que recebem uma função personalizada com a permissão refinada "revisar e gerenciar solicitações de bypass da secret scanning".

Neste artigo

Sobre solicitações de desvio para proteção por push

Quando a proteção de push bloqueia uma confirmação que contém um segredo, talvez os colaboradores precisem contornar o bloqueio para concluir o push. Se o bypass delegado para proteção por push estiver habilitado, os colaboradores sem privilégios de bypass deverão enviar uma solicitação de bypass e aguardar a aprovação dos revisores designados. Isso permite que as organizações mantenham a supervisão de segurança, permitindo exceções legítimas quando necessário. Para saber mais, confira Sobre o bypass delegado para proteção contra push.

Se o bypass delegado para proteção por push não estiver habilitado, os colaboradores poderão ignorar a proteção por push a seu próprio critério.

Ao habilitar o bypass delegado para proteção por push, os proprietários da organização ou administradores do repositório decidem quais indivíduos, funções ou equipes podem avaliar (aprovar ou negar) solicitações para ignorar a proteção por push.

Se você for um revisor designado, deverá examinar as solicitações de bypass e aprová-las ou negá-las com base nos detalhes da solicitação e nas políticas de segurança da sua organização.

Como funcionam as solicitações de bypass

Quando um colaborador sem privilégios de bypass solicita ao tentar enviar uma confirmação que contém um segredo, uma solicitação de exceção é enviada aos revisores. O grupo designado de revisores:

  • Recebe uma notificação por email que contém um link para a solicitação
  • Revisa a solicitação na página "Solicitações de bypass" do repositório ou na visão geral de segurança da organização.
  • Tem 7 dias para aprovar ou negar a solicitação antes que a solicitação expire

Informações disponíveis para revisores

GitHub exibe as seguintes informações para cada solicitação:

  • Nome do usuário que tentou o push
  • Repositório em que o push foi tentado
  • Confirme o hash do push
  • Carimbo de data/hora do push
  • Informações do caminho do arquivo e da ramificação (as informações da ramificação só estão disponíveis para pushes para ramificações individuais)

Resultados

O colaborador é notificado por email da decisão e deve executar a ação necessária:

  •           **Se a solicitação for aprovada**: o contribuidor poderá enviar a confirmação que contém o segredo para o repositório.

  •         **Se a solicitação for negada**: o colaborador deverá remover o segredo da confirmação antes de enviar a confirmação para o repositório com êxito.

Revisões automáticas das solicitações de bypass

Você pode usar o GitHub Apps com permissões refinadas para examinar e aprovar de modo programático solicitações de bypass de proteção por push. Isso permite que você imponha políticas de segurança consistentes, integre-se a ferramentas de segurança externas ou reduza a carga de revisão manual.

Para obter mais informações sobre permissões, confira Permissões da organização para "Solicitações de bypass da organização para verificação de segredos".

Próximas etapas