Sobre alertas secretos de verificação

Saiba mais sobre os diversos tipos de alertas de escaneamento de segredos.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

Secret scanning is available for the following repository types:

  • Public repositories: Secret scanning runs automatically for free.
  • Organization-owned private and internal repositories: Available with GitHub Secret Protection enabled on GitHub Team or GitHub Enterprise Cloud.
  • User-owned repositories: Available on GitHub Enterprise Cloud with Enterprise Managed Users. Available on GitHub Enterprise Server when the enterprise has GitHub Secret Protection enabled.

Neste artigo

Sobre os tipos de alertas

Existem três tipos de alertas de escaneamento de segredos:

  • Alertas de usuário: relatado aos usuários na guia Segurança do repositório, quando um segredo com suporte é detectado no repositório.
  • Alertas de proteção por push: relatado aos usuários na guia Segurança do repositório, quando um contribuidor contorna a proteção por push.
  • Alertas para parceiro: relatado diretamente aos provedores de segredos que fazem parte do programa de parceiros de secret scanning. Esses alertas não são relatados na guia Segurança do repositório.

Sobre os alertas de usuário

Quando você habilita a secret scanning para um repositório ou envia commits por push a um repositório com a secret scanning habilitada, o GitHub verifica o conteúdo em busca de segredos que correspondam aos padrões definidos pelos provedores de serviço e aos padrões personalizados definidos na empresa, na organização ou no repositório.

Quando a secret scanning detectar um segredo, o GitHub gerará um alerta. GitHub exibe um alerta na guia Segurança do repositório.

Para ajudar você a fazer a triagem de alertas com mais eficiência, o GitHub separa os alertas em duas listas:

  •           **Alertas** padrão
  • Alertas Genéricos

Lista de alertas padrão

A lista de alertas padrão exibe alertas relacionados a padrões compatíveis e padrões personalizados especificados. Esta é a exibição principal para alertas.

Lista de alertas Generic

A lista de alertas generic exibe alertas relacionados a padrões que não são do provedor (como chaves privadas) ou segredos genéricos detectados usando IA (como senhas). Esses tipos de alertas possuem uma taxa maior de falsos positivos ou segredos usados em testes. Você pode alternar para a lista de alertas generic da lista de alertas padrão.

GitHub continuará a lançar novos padrões e tipos de segredos para a lista de alertas genéricos e os promoverá para a lista padrão quando estiverem completos (ou seja, quando tiverem um volume e uma taxa de falsos positivos adequadamente baixos).

Além disso, os alertas que se enquadram nessa categoria:

  • São limitados em quantidade a cinco mil alertas por repositório (isso inclui alertas abertos e fechados).
  • Não são mostrados nas exibições de resumo na visão geral de segurança, apenas na exibição "Secret scanning".
  • Têm somente os cinco primeiros locais detectados exibidos no GitHub para padrões que não são de provedor, e somente o primeiro local detectado é exibido para segredos genéricos detectados por IA.

Para que o GitHub verifique padrões que não são de provedor e segredos genéricos, você deve habilitar o recursos para seu repositório ou sua organização. Para obter mais informações, confira Habilitar a verificação de segredos que não são de provedor e Como habilitar a detecção de segredo genérico da verificação de segredos do Copilot.

Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. Isso garante que os vazamentos mais críticos não estejam ocultos por trás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.

Sobre os alertas de proteção por push

A proteção por push verifica os pushes em busca de segredos compatíveis. Se a proteção por push detectar um segredo compatível, ela bloqueará o push. Quando um colaborador ignora a proteção por push para enviar um segredo ao repositório, um alerta de proteção por push é gerado e exibido na guia Segurança do repositório. Para ver todos os alertas de proteção por push de um repositório, você deve filtrar por bypassed: true na página de alertas. Para saber mais, confira Exibindo e filtrando alertas do escaneamento de segredos.

Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. Isso garante que os vazamentos mais críticos não estejam ocultos por trás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.

Observação

Você também pode habilitar a proteção por push para sua conta pessoal, chamada de "proteção por push para usuários", que impede que você envie acidentalmente por push segredos compatíveis para qualquer repositório público. Os alertas não serão criados se você optar por ignorar apenas a proteção por push baseada no usuário. Os alertas só serão criados se o próprio repositório tiver a proteção por push habilitada. Para saber mais, confira Gerenciando a proteção por push para usuários.

Versões mais antigas de determinados tokens podem não ter suporte da proteção de push, pois esses tokens podem gerar um número maior de falsos positivos do que sua versão mais recente. A proteção de push também pode não se aplicar a tokens herdados. Para tokens como Chaves do Armazenamento do Azure, o GitHub só dá suporte a tokens criados recentemente, não a tokens que correspondem aos padrões herdados. Para obter mais informações sobre limitações de proteção de push, confira Escopo de detecção de verificação secreta.

Sobre os alertas de parceiros

Quando a GitHub detecta um segredo vazado em um repositório público ou pacote npm, um alerta é enviado diretamente ao provedor de segredos, caso ele faça parte do programa de parceiros de verificação de segredos da GitHub. Para obter mais informações sobre os alertas de verificação de segredo para parceiros, confira Programa de verificação de segredo de parceiros e Padrões de varredura de segredos com suporte.

Os alertas de parceiros não são enviados aos administradores do repositório, portanto, você não precisa executar nenhuma ação para esse tipo de alerta.

Leitura adicional

  •         [AUTOTITLE](/code-security/reference/secret-security/supported-secret-scanning-patterns)

  •         [AUTOTITLE](/code-security/how-tos/secure-your-secrets/detect-secret-leaks/enabling-secret-scanning-for-non-provider-patterns)