Sobre alertas secretos de verificação

Saiba mais sobre os diferentes tipos de alertas de escaneamento de segredos.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

O Secret scanning está disponível para os seguintes tipos de repositório:

  • Repositórios públicos: Secret scanning é executado automaticamente gratuitamente.
  • Repositórios internos e privados de propriedade da organização: disponíveis com GitHub Secret Protection ativado em GitHub Team ou GitHub Enterprise Cloud.
  • Repositórios de propriedade do usuário: Disponível em GitHub Enterprise Cloud com Enterprise Managed Users. Disponível em GitHub Enterprise Server quando a empresa tiver GitHub Secret Protection habilitado.

Neste artigo

Sobre os tipos de alertas

Há dois tiposalertas de escaneamento de segredos:

  • Alertas de verificação de segredo: Relatados aos usuários na Security guia do repositório, quando um segredo suportado é detectado no repositório.
  • Alertas de proteção por push: Relatado aos usuários na Security aba do repositório, quando um colaborador ignora a proteção por push.

Sobre alertas de escaneamento de segredos

Quando você habilita a secret scanning para um repositório ou envia commits por push a um repositório com a secret scanning habilitada, o GitHub verifica o conteúdo em busca de segredos que correspondam aos padrões definidos pelos provedores de serviço e aos padrões personalizados definidos na empresa, na organização ou no repositório.

Quando a secret scanning detectar um segredo, o GitHub gerará um alerta. GitHub exibe um alerta na Security guia do repositório. Se o mesmo segredo for exibido várias vezes em um único arquivo, somente um alerta será criado.

Para ajudá-lo a fazer a triagem de alertas com mais eficiência, GitHub separa os alertas em duas listas:

  • Alertas padrão
  • Alertas genéricos

Lista de alertas padrão

A lista de alertas padrão exibe alertas relacionados a padrões compatíveis e padrões personalizados especificados. Esta é a exibição principal para alertas.

Lista de alertas genéricos

A lista de alertas genéricos exibe alertas relacionados a padrões não provedores (como chaves privadas). Esses tipos de alertas possuem uma taxa maior de falsos positivos ou segredos usados em testes. Você pode alternar da lista de alertas padrão para a lista de alertas genéricos.

GitHub continuará a adicionar novos padrões e tipos de segredos à lista de alertas genéricos e os promoverá para a lista padrão quando estiverem completos em termos de funcionalidade (ou seja, quando tiverem um volume adequadamente baixo e uma taxa de falsos positivos).

Além disso, os alertas que se enquadram nessa categoria:

  • São limitados em quantidade a cinco mil alertas por repositório (isso inclui alertas abertos e fechados).
  • Não são mostrados nas visões resumidas para a visão geral de segurança, somente na visão "Secret scanning".
  • Apenas os cinco primeiros locais detectados são exibidos GitHub para padrões que não são de provedor.

Para GitHub verificar se há padrões que não são de provedor e segredos, primeiro você deve habilitar os recursos para seu repositório ou organização. Para obter mais informações, consulte Habilitar a verificação de segredos que não são de provedor.

Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. Isso garante que os vazamentos mais críticos não estejam ocultos por trás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.

Sobre os alertas de proteção por push

A proteção por push verifica os pushes em busca de segredos compatíveis. Se a proteção por push detectar um segredo compatível, ela bloqueará o push. Quando um colaborador ignora a Security proteção por push para enviar por push um segredo para o repositório, um alerta de proteção por push é gerado e exibido na guia do repositório. Para ver todos os alertas de proteção por push de um repositório, você deve filtrar por bypassed: true na página de alertas. Para saber mais, confira Exibindo e filtrando alertas do escaneamento de segredos.

Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. Isso garante que os vazamentos mais críticos não estejam ocultos por trás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.

Observação

Versões mais antigas de determinados tokens podem não ter suporte da proteção de push, pois esses tokens podem gerar um número maior de falsos positivos do que sua versão mais recente. A proteção de push também pode não se aplicar a tokens herdados. Para tokens como Chaves do Armazenamento do Azure, o GitHub só dá suporte a tokens criados recentemente, não a tokens que correspondem aos padrões herdados. Para obter mais informações sobre limitações de proteção por push, consulte Escopo de detecção de verificação secreta.

Leitura adicional