Esta versão do GitHub Enterprise Server será descontinuada em 2024-09-24. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, segurança aprimorada e novos recursos, atualize para a última versão do GitHub Enterprise Server. Para obter ajuda com a atualização, entre em contato com o suporte do GitHub Enterprise.

Sobre a verificação de segredo

O GitHub Enterprise Server verifica repositórios em busca de tipos de segredos conhecidos a fim de impedir o uso fraudulento de segredos que sofreram commit acidentalmente.

Quem pode usar esse recurso?

A Secret scanning estará disponível para os repositórios pertencentes a uma organização no GitHub Enterprise Server se a sua empresa tiver uma licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre alertas secretos de verificação" e "Sobre a Segurança Avançada do GitHub".

Neste artigo

Sobre a secret scanning

A Secret scanning é um recurso de segurança que ajuda a detectar e impedir a inclusão acidental de informações confidenciais, como chaves de API, senhas, tokens e outros segredos em seu repositório. Quando habilitada, a secret scanning verifica commits em repositórios em busca de tipos conhecidos de segredos e alerta os administradores do repositório após a detecção.

A Secret scanning verifica todo o histórico do Git em todas as ramificações presentes em seu repositório do GitHub em busca de segredos, mesmo que o repositório esteja arquivado. A Secret scanning não verifica problemas. A GitHub também executará periodicamente uma verificação completa do histórico do Git do conteúdo existente em repositórios GitHub Advanced Security em que a secret scanning está habilitada.

Quando um segredo com suporte vaza, o GitHub Enterprise Server gera um alerta de secret scanning. Os alertas são relatados na guia Segurança dos repositórios no GitHub Enterprise Server, onde você pode exibi-los, avaliá-los e resolvê-los. Para obter mais informações, confira "Gerenciar alertas da verificação de segredo".

Para obter informações sobre os segredos e provedores de serviço compatíveis com o secret scanning, consulte "Padrões de varredura de segredos com suporte".

É possível também usar a API REST para monitorar os resultados da secret scanning nos seus repositórios ou na sua organização. Para obter mais informações sobre pontos de extremidade da API, confira "Pontos de extremidade da API REST para verificação de segredos".

Você também pode usar a visão geral de segurança para ter uma visão no nível da organização de quais repositórios habilitaram a secret scanning e os alertas encontrados. Para obter mais informações, confira "Sobre a visão geral de segurança".

Você pode auditar as ações executadas em resposta aos alertas do secret scanning usando as ferramentas do GitHub. Para obter mais informações, confira "Alertas de segurança de auditoria".

Como a secret scanning funciona

Abaixo está um fluxo de trabalho típico que explica como a secret scanning funciona:

  • Detecção: a Secret scanning verifica automaticamente o conteúdo do repositório em busca de dados confidenciais, como chaves de API, senhas, tokens e outros segredos. Ela procura padrões e heurísticas que correspondam a tipos de segredos conhecidos.

  • Alertas: quando um segredo potencial é detectado, o GitHub gera um alerta e notifica os administradores e usuários relevantes do repositório. Essa notificação inclui detalhes sobre o segredo detectado, como sua localização no repositório. Para obter mais informações sobre tipos de alerta e detalhes de alerta, consulte "Sobre alertas secretos de verificação".

  • Revisão: quando um segredo for detectado, você precisará revisar os detalhes do alerta fornecidos.

  • Correção: em seguida, você precisará adotar as medidas apropriadas para corrigir a exposição. Isso pode incluir:

    • Girar a credencial afetada para garantir que ela não seja mais utilizável.
    • Remover o segredo do histórico do repositório (usando ferramentas como BFG Repo-Cleaner ou recursos integrados do GitHub).

  • Monitoramento: é uma boa prática auditar e monitorar regularmente seus repositórios para garantir que nenhum outro segredo seja exposto.

Sobre os benefícios da secret scanning

  • Segurança aprimorada: a Secret scanning verifica seus repositórios em busca de informações confidenciais, como chaves de API, senhas, tokens e outros segredos. Ao detectá-los antecipadamente, você pode mitigar possíveis riscos de segurança antes que eles sejam explorados por agentes mal-intencionados.

  • Detecção automatizada: o recurso verifica automaticamente sua base de código, incluindo commits, problemas e pull requests, garantindo proteção contínua sem exigir intervenção manual. Essa automação ajuda a manter a segurança mesmo com a evolução do repositório.

  • Alertas em tempo real: quando um segredo é detectado, a secret scanning fornece alertas em tempo real para administradores e colaboradores do repositório. Esse feedback imediato permite implementar ações de correção rápidas.

  • Suporte a padrões personalizados: as organizações podem definir padrões personalizados para detectar tipos de segredos proprietários ou exclusivos que podem não ser cobertos por padrões predefinidos. Essa flexibilidade permite adotar medidas de segurança personalizadas específicas para o seu ambiente.

Personalizando a secret scanning

Quando a secret scanning estiver habilitada, você poderá personalizá-la ainda mais:

Executando verificações de validade

As verificações de validade ajudam a priorizar os alertas, informando quais segredos estão active ou inactive. Para obter mais informações, consulte "Avaliando alertas da verificação de segredos".

Definição de padrões personalizados

Defina seus próprios padrões para segredos usados por sua organização que a secret scanning pode verificar e detectar. Para obter mais informações, confira "Definir padrões personalizados para a verificação de segredo".

Leitura adicional