Quando credenciais como chaves de API e senhas são confirmadas em repositórios como segredos codificados, elas se tornam destinos para acesso não autorizado. Secret scanning detecta automaticamente vazamentos de credenciais para que você possa protegê-los antes que eles sejam explorados.
Dica
A qualquer momento, você pode executar uma avaliação gratuita do código da sua organização para segredos vazados.
Para gerar um relatório, abra a Security aba da sua organização, exibir a página Avaliações e, em seguida, clicar em Examinar sua organização.
Como a verificação secreta protege seu código
Secret scanning verifica todo o histórico do Git em todos os branches do repositório em busca de credenciais codificadas, incluindo chaves de API, senhas, tokens e outros tipos de segredo conhecidos. Isso ajuda a identificar a expansão secreta, a proliferação descontrolada de credenciais entre repositórios, antes que ela se torne um risco à segurança.
GitHub também reanalisa os repositórios periodicamente quando novos tipos de segredos são adicionados.
GitHub também verifica automaticamente:
- Descrições e comentários em tópicos
- Títulos, descrições e comentários, em problemas históricos abertos e fechados
- Títulos, descrições e comentários em pull requests
- Títulos, descrições e comentários em GitHub Discussions
- Gists secretos
Secret scanning alertas e correção
Quando secret scanning detecta um vazamento de credencial, GitHub gera um alerta na guia do Security repositório com detalhes sobre a credencial exposta.
Quando você receber um alerta, gire a credencial afetada imediatamente para impedir o acesso não autorizado. Embora você também possa remover segredos do seu histórico do Git, isso é demorado e muitas vezes desnecessário se você já revogou a credencial.
Personalização
Além da detecção padrão de segredos de parceiros e provedores, você pode expandir e personalizar secret scanning para atender às suas necessidades.
- Padrões de não provedores. Expanda a detecção de segredos que não estão vinculados a um provedor de serviços específico, como chaves privadas, cadeias de conexão e chaves de API genéricas.
- Padrões personalizados. Defina suas próprias expressões regulares para detectar segredos específicos da organização que não são cobertos por padrões padrão.
- Verificações de validade. Priorize a correção verificando se os segredos detectados ainda estão ativos.
Como posso acessar esse recurso?
O Secret scanning está disponível para os seguintes tipos de repositório:
- Repositórios públicos: Secret scanning é executado automaticamente gratuitamente.
- Repositórios internos e privados de propriedade da organização: disponíveis com GitHub Secret Protection ativado em GitHub Team ou GitHub Enterprise Cloud.
- Repositórios de propriedade do usuário: Disponível em GitHub Enterprise Cloud com Enterprise Managed Users. Disponível em GitHub Enterprise Server quando a empresa tiver GitHub Secret Protection habilitado.
Próximas etapas
- Se você recebeu um alerta, consulte Gerenciar alertas de verificação de segredo para saber como revisar, resolver e corrigir segredos expostos.
- Se você estiver protegendo uma organização, consulte Executando a avaliação de risco secreto para sua organização para determinar a exposição da sua organização a segredos vazados.
Leitura adicional
- Para ver uma lista completa de segredos e provedores de serviços com suporte, consulte Padrões de varredura de segredos com suporte.