Este guia pressupõe que você planejou e iniciou uma avaliação do GitHub Advanced Security para uma conta empresarial existente ou de avaliação do GitHub; confira Planejando uma avaliação do GitHub Advanced Security.
Introdução
Os recursos da Secret scanning funcionam em repositórios privados e internos com o GitHub Advanced Security habilitado da mesma forma que funcionam em todos os repositórios públicos. Este artigo se concentra na funcionalidade adicional que você pode usar para proteger sua empresa contra vazamentos de segurança quando usa o GitHub Advanced Security, ou seja:
- Identificar tokens de acesso adicionais que você usa.
- Detectar senhas em potencial usando IA.
- Controlar e auditar o processo de bypass para proteção por push.
- Habilitar verificações de validade para tokens expostos.
Configuração de segurança para secret scanning
A maioria das empresas opta por habilitar a secret scanning e a proteção por push em todos os seus repositórios aplicando configurações de segurança com esses recursos habilitados. Isso garante que os repositórios sejam verificados quanto aos tokens de acesso que já foram adicionados a GitHub, além de sinalizar quando os usuários estão prestes a vazar tokens no GitHub. Para saber mais sobre como criar uma configuração de segurança de nível empresarial e aplicá-la aos repositórios de teste, confira Habilitar recursos de segurança em sua conta empresarial de avaliação.
Fornecer acesso para exibir resultados da secret scanning
Por padrão, somente o administrador do repositório e o proprietário da organização podem exibir todos os alertas do secret scanning em sua área. Atribua a função predefinida de gerente de segurança a todas as equipes e usuários da organização que você deseja que acessem os alertas encontrados durante a avaliação. Também convém conceder ao proprietário da conta corporativa essa função para cada organização na avaliação. Para saber mais, confira Gerenciando os gerentes de segurança da sua organização.
Você pode ver um resumo dos resultados encontrados nas organizações de sua conta empresarial de avaliação na guia Code security da empresa. Também há exibições separadas para cada tipo de alerta de segurança; confira Exibir insights de segurança.
Identificar tokens de acesso adicionais
Você pode criar padrões personalizados para identificar tokens de acesso adicionais no nível do repositório, da organização e da empresa. Na maioria dos casos, você deve definir padrões personalizados no nível da empresa, pois isso garantirá que eles sejam usados em toda a empresa. Isso também facilitará a manutenção se você precisar atualizar um padrão quando o formato de um token for alterado.
Após você criar e publicar padrões personalizados, a secret scanning e a proteção por push incluem automaticamente os novos padrões em todas as verificações. Para obter informações detalhadas sobre como criar padrões personalizados, confira Definir padrões personalizados para a verificação de segredo.
Usar IA para detectar senhas em potencial
No nível da empresa, você tem controle total sobre a permissão do uso de IA para detectar segredos que não podem ser identificados usando expressões regulares (também conhecidos como segredos genéricos ou como padrões que não são de provedor).
- Ative ou desative o recurso para toda a empresa.
- Defina uma política para bloquear o controle do recurso no nível da organização e do repositório.
- Defina uma política para permitir que proprietários da organização ou administradores de repositório controlem o recurso.
De maneira semelhante aos padrões personalizados, se você habilitar a detecção de IA, a secret scanning e a proteção por push começam automaticamente a usar a detecção de IA em todas as verificações. Para obter informações sobre o controle no nível empresarial, confira Definindo configurações adicionais de verificação de segredo para sua empresa e Como impor políticas para segurança e análise de código na empresa.
Controlar e auditar o processo de bypass
Quando a proteção por push bloqueia um push para GitHub em um repositório público sem GitHub Advanced Security, o usuário tem duas opções simples: ignorar o controle ou remover o conteúdo realçado do branch e seu histórico. Se ele optar por ignorar a proteção por push, um alerta da secret scanning será criado automaticamente. Isso permite que os desenvolvedores desbloqueiem rapidamente seu trabalho enquanto ainda fornece uma trilha de auditoria para o conteúdo identificado pela secret scanning.
Equipes maiores geralmente querem manter um controle mais rígido sobre a possível publicação de tokens de acesso e outros segredos. Com a GitHub Advanced Security, você pode definir um grupo de revisores para aprovar solicitações para ignorar a proteção por push, reduzindo o risco de um desenvolvedor acidentalmente vazar um token que ainda está ativo. Os revisores são definidos em uma configuração de segurança no nível da organização ou nas configurações de um repositório. Para saber mais, confira Sobre o bypass delegado para proteção de push.
Habilitar verificações de validade
Você pode habilitar verificações de validade para verificar se os tokens detectados ainda estão ativos no nível do repositório, da organização e da empresa. Geralmente, vale a pena habilitar esse recurso em toda a empresa usando configurações de segurança no nível da empresa ou da organização. Para saber mais, confira Habilitar verificações de validade para seu repositório.
Próximas etapas
Quando você tiver habilitado os controles adicionais para a secret scanning disponíveis com o GitHub Advanced Security, estará pronto para testá-los em relação às suas necessidades comerciais e explorar mais. Você também pode estar pronto para avaliar a code scanning.