Habilitar a dispensa de alerta delegada para verificação de segredo

Você pode usar a dispensa de alerta delegada para controlar quem pode ignorar um alerta encontrado pela secret scanning.

Quem pode usar esse recurso?

Os proprietários da organização, os gerentes de segurança e os administradores do repositório podem habilitar dispensas de alerta delegadas. Depois de habilitadas, os proprietários da organização e os gerentes de segurança podem ignorar alertas.

Neste artigo

Sobre como habilitar a dispensa de alerta delegada

A dispensa de alerta delegada permite restringir quais usuários podem ignorar diretamente um alerta. Quando o recurso estiver habilitado, os usuários que tentarem ignorar um alerta criarão um pedido para fazê-lo.

Habilitar o recurso atribui automaticamente aos proprietários da organização e aos gerentes de segurança a permissão para aprovar ou negar solicitações para ignorar alertas. Essa permissão é:

  • Permissão "Examinar e gerenciar solicitações de demissão de alerta do code scanning" para code scanning.

  • Permissão "Review and manage secret scanning alert dismissal requests" para secret scanning. Essa permissão também pode ser aplicada a funções personalizadas.

Para saber mais sobre essas permissões, confira Funções em uma organização.

Para saber mais sobre a função de gerente de segurança, consulte Gerenciando os gerentes de segurança da sua organização.

Observação

A implementação desse processo de aprovação pode causar algum atrito, portanto, é importante garantir que a equipe de gerentes de segurança tenha o respaldo adequado antes de prosseguir.

Revisores (gerentes de segurança e proprietários da organização):

  • Obtêm uma notificação por email das solicitações. Esses usuários precisam garantir que eles possam examinar as listas periodicamente, para que não haja pendências e que o processo seja tranquilo.
  • Podem processar solicitações em uma exibição dedicada na guia "Segurança" da organização. Um alerta só será ignorado se a solicitação para isso for aprovada; caso contrário, o alerta permanecerá aberto.

Os solicitantes receberão uma notificação por email com a decisão de poder ou não descartar o alerta.

Configurar a dispensa delegada em um repositório

Observação

Se um proprietário da organização configurar a dispensa de alerta delegada por meio de uma configuração de segurança imposta, as configurações não poderão ser alteradas no nível do repositório.

  1. Em GitHub, acesse a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Configurações. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro.

  3. Na seção "Segurança" da barra lateral, clique em Advanced Security.

  4. Em "Secret Protection", à direita de "Prevent direct alert dismissals", clique em Enable.

Configurar a dispensa delegada em uma organização

Você deve configurar a dispensa delegada para sua organização usando uma configuração de segurança personalizada. Em seguida, você pode aplicar a configuração de segurança a todos os repositórios (ou alguns selecionados) em sua organização.

  1. Crie uma nova configuração de segurança personalizada ou edite uma existente. Confira Criando uma configuração de segurança personalizada.
  2. Ao definir a configuração de segurança personalizada, em "Secret scanning", certifique-se de que o menu suspenso "Prevent direct alert dismissals" esteja definido como Enabled.
  3. Clique em Salvar configuração.
  4. Aplique a configuração de segurança a todos os repositórios (ou selecionados) em sua organização. Confira Aplicando uma configuração de segurança personalizada.

Para saber mais sobre configurações de segurança, consulte Sobre a habilitação de recursos de segurança em escala.

Observação

Você pode usar GitHub Apps com permissões refinadas para examinar e aprovar de modo programático as solicitações de descarte delegadas. Isso permite que sua organização simplifique as revisões de solicitações de segurança e imponha políticas ou integre-se a ferramentas de segurança externas, garantindo que todas as revisões cumpram os padrões estabelecidos. Para GitHub Enterprise Server, é possível usar o GitHub Apps para examinar solicitações de descartes delegados da versão 3.19 em diante. Para obter mais informações sobre permissões, confira Permissões da organização para "Solicitações de bypass da organização para verificação de segredo".

Configurar a dispensa delegada para uma empresa

  1. Crie uma nova configuração de segurança personalizada ou edite uma existente. Confira Criando uma configuração de segurança personalizada para sua empresa.
  2. Ao definir a configuração de segurança personalizada, em "Secret Protection", certifique-se de que o menu suspenso "Prevent direct alert dismissals" esteja definido como Enabled.
  3. Clique em Salvar configuração.
  4. Aplique a configuração de segurança a todos os repositórios (ou selecionados) em sua empresa. Confira Aplicando uma configuração de segurança personalizada à sua empresa.