Resolvendo alertas da verificação de segredo

Depois de revisar os detalhes de um alerta de verificação de segredos, você deverá corrigir e fechar o alerta.

Quem pode usar esse recurso?

Repository owners, organization owners, security managers, users assigned to alertas de verificação de segredo, commit authors, and users with the admin role

Neste artigo

Corrigir alertas

Uma vez que um segredo tenha sido committed a um repositório, você deve considerar o segredo comprometido. O GitHub recomenda as seguintes ações para segredos comprometidos:

  1. Verifique se o segredo confirmado no GitHub é válido.
  2. Revise e atualize todos os serviços que usam o token antigo. Para personal access tokens do GitHub, exclua o token comprometido e crie um novo token. Confira Gerenciar seus tokens de acesso pessoal.
  3. Dependendo do provedor de segredos, verifique seus logs de segurança em busca de atividades não autorizadas.

Alertas de fechamento

Observação

Secret scanning não fecha automaticamente os alertas quando o token correspondente é removido do repositório. É necessário fechar manualmente esses alertas na lista de alertas no GitHub.

{Navegue até o repositório} {Barra lateral de segurança}

  1. Na barra lateral esquerda, em "Alertas de vulnerabilidades", clique em Secret scanning .

  2. Em "Secret scanning", clique no alerta que você deseja exibir.

  3. Para ignorar um alerta, selecione o menu suspenso "Fechar como" e clique em um motivo para resolver um alerta.

    Captura de tela de um alerta do secret scanning. Um menu suspenso, intitulado "Fechar como", é expandido e realçado com um contorno em laranja escuro.

  4. Opcionalmente, no campo "Comentário", adicione um comentário de ignorar. O comentário de ignorar será adicionado à linha do tempo do alerta e pode ser usado como justificativa em auditorias e relatórios.

  5. Clique em Fechar alerta.

Próximas etapas

  •         [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/monitoring-alerts)