Verificação de segredos com o servidor MCP GitHub

O servidor GitHub Protocolo de Contexto de Modelo (MCP) permite executar secret scanning diretamente do modo GitHub Copilot de agente, CLI do GitHub Copilot, e de outras ferramentas compatíveis com MCP. Examine seu código em busca de chaves, tokens e credenciais expostos enquanto trabalha e corrija-os antes de efetuar push.

As ferramentas de verificação secreta só estão disponíveis por meio do GitHub servidor MCP remoto. Não há suporte para configurações de servidor MCP local.

Isso funciona com qualquer agente compatível com MCP ou IDE, incluindo Visual Studio Code, JetBrains, Claude Code, Cursor e Windsurf. A experiência varia entre os clientes.

Observação

As descobertas retornadas por verificações invocadas pelo MCP são efêmeras. Elas aparecem no chat do agente apenas na sessão atual e não são mantidas como alertas em GitHub. Isso significa que essas descobertas não aparecerão na guia Segurança, na secret scanning lista de alertas ou nas APIs REST/GraphQL para alertas. As verificações MCP devem ser tratadas como uma checagem de segurança antes da confirmação, não como um sistema de registro. Corrija os problemas identificados antes que eles sejam submetidos ao repositório e persistidos no histórico do Git.

Pré-requisitos

          GitHub Secret Protection
          ** está habilitado para o repositório.

          GitHub O servidor MCP** está conectado em seu IDE ou agente. Consulte [AUTOTITLE](/copilot/how-tos/provide-context/use-mcp/set-up-the-github-mcp-server).

A configuração de segurança da sua organização determina quais tipos de segredo são detectados e se a proteção por push é imposta. As ferramentas mcp respeitam a configuração de proteção por push da sua organização (as configurações de proteção por push no nível do repositório não são usadas).

Etapa 1: Instalar e configurar ferramentas

Habilitar o conjunto `secret_protection` de ferramentas

Habilite o secret_protection conjunto de ferramentas para tornar disponíveis as ferramentas de varredura ao seu agente. Os conjuntos de ferramentas padrão não o incluem.

Atualmente, a ferramenta está anexada ao conjunto de ferramentas copilot em vez de secret_protection. Você deve incluir run_secret_scanning explicitamente como uma ferramenta adicional junto com o secret_protection conjunto de ferramentas na configuração do MCP.

          CLI do GitHub Copilot tem o servidor MCP GitHub integrado:

copilot mcp --toolsets=secret_protection --tools=run_secret_scanning

Adicione o secret_protection toolset e o run_secret_scanning tool à configuração do MCP:

JSON

{
  "servers": {
    "github": {
      "url": "https://api.githubcopilot.com/mcp/",
      "headers": {
        "X-MCP-Toolsets": "secret_protection",
        "X-MCP-Tools": "run_secret_scanning"
      }
    }
  }
}

{
  "servers": {
    "github": {
      "url": "https://api.githubcopilot.com/mcp/",
      "headers": {
        "X-MCP-Toolsets": "secret_protection",
        "X-MCP-Tools": "run_secret_scanning"
      }
    }
  }
}

No IDE JetBrains, edite a configuração do servidor MCP para incluir o conjunto de ferramentas secret_protection e os cabeçalhos de ferramentas run_secret_scanning. Para obter mais informações sobre como configurar servidores MCP no JetBrains, consulte o MCP Server na documentação do JetBrains.

JSON

{
  "servers": {
    "github": {
      "type": "http",
      "url": "https://api.githubcopilot.com/mcp/",
      "headers": {
        "GitHub-MCP-Toolsets": "secret_protection",
        "GitHub-MCP-Tools": "run_secret_scanning"
      }
    }
  }
}

{
  "servers": {
    "github": {
      "type": "http",
      "url": "https://api.githubcopilot.com/mcp/",
      "headers": {
        "GitHub-MCP-Toolsets": "secret_protection",
        "GitHub-MCP-Tools": "run_secret_scanning"
      }
    }
  }
}

(Opcional) Instalar o Advanced Security plug-in

O Advanced Security plug-in fornece um /secret-scanning comando de barra para uma experiência de verificação simplificada dentro CLI do GitHub Copilot e Visual Studio Code. O plug-in utiliza as ferramentas MCP internamente, então você ainda precisará ativar o conjunto de ferramentas secret_protection.

Instruções para instalar o plug-in:

Para CLI do GitHub Copilot, consulte Localizando e instalando plug-ins para CLI do GitHub Copilot.
Para Visual Studio Code, consulte Descobrir e instalar plug-ins na Visual Studio Code documentação.

Etapa 2: Examinar seu código

Depois que o conjunto de ferramentas estiver habilitado, você poderá disparar uma verificação de várias maneiras, dependendo do cliente.

          **Prompt de linguagem natural**. Em qualquer agente compatível com MCP, você pode perguntar:

"Examine minhas alterações atuais em busca de segredos expostos e mostre-me os arquivos e linhas que devo atualizar antes de me comprometer."

Execute secret scanning nos arquivos que alterei desde o meu último commit e resuma quaisquer descobertas de alta confiança.

          **Comando de barra (requer o Advanced Security plugin)**. Se você instalou o plug-in opcional na Etapa 1, também poderá usar:

"/verificação secreta Examine a diferença de etapas para credenciais, chaves ou tokens e proponha substituições usando variáveis de ambiente."

          **Invocação de ferramenta direta:** Você também pode invocar a ferramenta de escaneamento diretamente do seu cliente.

Execute copilot --add-github-mcp-tool run_secret_scanning.

          `/secret-scanning`Digite Bate-papo do Copilot

Em seu IDE, abra Bate-papo do Copilot
Clique na guia Agente
Use um prompt como: "Examine minhas alterações recentes em busca de segredos expostos antes de me comprometer". Você também pode clicar no ícone de ferramentas na caixa de chat para navegar diretamente pelas ferramentas disponíveis secret_protection .

O agente retorna:

O tipo de segredo encontrado
O arquivo e a linha em que ele foi detectado
Etapas de correção, como remover ou girar a credencial

Se a proteção por push estiver habilitada, o servidor MCP também impedirá que os segredos sejam incluídos em qualquer ação que ele execute em seu nome, como confirmações, solicitações de pull ou a criação de arquivos. Consulte Como trabalhar com a proteção de push e o servidor de MCP do GitHub.

Solução de problemas

Problema	Verificar
A verificação não retorna resultados	Verifique se o `secret_protection` conjunto de ferramentas está habilitado na configuração do MCP.
Repositório não elegível

          Secret scanning via MCP está disponível para repositórios públicos e precisa ser habilitado para repositórios GitHub Secret Protection privados e internos. |

| O agente não reconhece a ferramenta | Confirme se o IDE ou agente dá suporte ao MCP. Consulte Sobre o Protocolo de Contexto de Modelo (MCP). | | Resultados de detecção inesperados | A configuração de segurança da sua organização controla quais padrões são verificados. Verifique as configurações de segurança do repositório. | | A ferramenta funciona em um cliente, mas não em outro | A experiência varia entre clientes compatíveis com MCP. Verifique a documentação do MCP do cliente para verificar os recursos suportados. |

Leitura adicional

Configurando conjuntos de ferramentas para o servidor MCP GitHub