Corrigir alertas
Uma vez que um segredo tenha sido committed a um repositório, você deve considerar o segredo comprometido. O GitHub recomenda as seguintes ações para segredos comprometidos:
- Verifique se o segredo confirmado no GitHub é válido. Aplica-se somente a tokens do GitHub. Consulte Verificar a validade de um segredo e Executar uma verificação de validade sob demanda.
- Para segredos detectados em repositórios privados, relate o segredo vazado para o GitHub, que o tratará como qualquer segredo vazado publicamente e o revogará. Aplica-se apenas a GitHub personal access tokens ativos ou não confirmados. Consulte Relatar um segredo vazado em um repositório privado.
- Revise e atualize todos os serviços que usam o token antigo. Para personal access tokens do GitHub, exclua o token comprometido e crie um novo token. Confira Gerenciar seus tokens de acesso pessoal.
- Dependendo do provedor de segredos, verifique seus logs de segurança em busca de atividades não autorizadas.
Alertas de fechamento
Observação
Secret scanning não fecha automaticamente os alertas quando o token correspondente é removido do repositório. É necessário fechar manualmente esses alertas na lista de alertas no GitHub.
{Navegue até o repositório} {Barra lateral de segurança}
-
Na barra lateral esquerda, em "Alertas de vulnerabilidades", clique em Secret scanning .
-
Em "Secret scanning", clique no alerta que você deseja exibir.
-
Para ignorar um alerta, selecione o menu suspenso "Fechar como" e clique em um motivo para resolver um alerta.
-
Opcionalmente, no campo "Comentário", adicione um comentário de ignorar. O comentário de ignorar será adicionado à linha do tempo do alerta e pode ser usado como justificativa em auditorias e relatórios.
-
Clique em Fechar alerta.
Próximas etapas
-
[AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/monitoring-alerts)