Esta versão do GitHub Enterprise Server será descontinuada em 2024-09-24. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, segurança aprimorada e novos recursos, atualize para a última versão do GitHub Enterprise Server. Para obter ajuda com a atualização, entre em contato com o suporte do GitHub Enterprise.

Monitorando alertas da verificação de segredos

Saiba como e quando GitHub Enterprise Server notificará você sobre um alerta de verificação de segredos.

Quem pode usar esse recurso?

A Secret scanning estará disponível para os repositórios pertencentes a uma organização no GitHub Enterprise Server se a sua empresa tiver uma licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre alertas secretos de verificação" e "Sobre a Segurança Avançada do GitHub".

Neste artigo

Configurar notificações para alertas de verificação de segredo

Além de exibir um alerta na guia Segurança do repositório, o GitHub Enterprise Server também pode enviar notificações por email para alertas. As notificações são diferentes para verificações incrementais e verificações históricas.

Verificações incrementais

Quando um novo segredo é detectado, o GitHub Enterprise Server notifica todos os usuários com acesso aos alertas de segurança do repositório de acordo com as preferências de notificação. Esses usuários incluem:

  • Administradores do repositório
  • Gerentes de segurança
  • Usuários com funções personalizadas com acesso de leitura/gravação
  • Proprietários da organização e proprietários da empresa, se forem administradores de repositórios onde os segredos foram vazados

Note

Os autores de confirmação que acidentalmente fizeram commit de segredos serão notificados, independentemente das preferências de notificação deles.

Você receberá uma notificação por email se:

  • Estiver inspecionando o repositório.
  • Tiver habilitado as notificações para "Todas as atividades" ou para os "Alertas de segurança" personalizados no repositório.
  • Tiver selecionado, em suas configurações de notificação, em "Assinaturas" e, em seguida, em "Inspeção", a opção para receber notificações por email.

  1. No sua instância do GitHub Enterprise Server, navegue até a página principal do repositório.

  2. Para começar a inspecionar o repositório, selecione Inspecionar.

    Captura de tela da página principal do repositório. Um menu suspenso, intitulado "Assistir", é realçado com um contorno em laranja.

  3. No menu suspenso, clique em Todas as atividades. Como alternativa, para assinar somente alertas de segurança, clique em Personalizado e, em seguida, em Alertas de segurança.

  4. Acesse as configurações de notificação da sua conta pessoal. Elas estão disponíveis em https://github.com/settings/notifications.

  5. Na página de configurações de notificação, em "Assinaturas" e, em seguida, em "Inspeção", selecione o menu suspenso Notificar-me.

  6. Selecione "Email" como uma opção de notificação e clique em Salvar.

    Captura de tela das configurações de notificação de uma conta de usuário. Um cabeçalho de elemento, intitulado "Assinaturas", e um subcabeçalho, intitulado "Inspeção", são mostrados. Uma caixa de seleção, intitulada "Email", é realçada com um contorno em laranja.

Para obter mais informações sobre como configurar as preferências de configurações, confira "Gerenciando as configurações de segurança e análise do repositório" e "Como definir as configurações de inspeção de um repositório individual."

Verificações históricas

Para verificações históricas, GitHub Enterprise Server notifica os seguintes usuários:

  • Proprietários da organização, proprietários da empresa e gerentes de segurança sempre que uma verificação histórica for concluída, mesmo que nenhum segredo seja encontrado.
  • Administradores de repositório, gerentes de segurança e usuários com funções personalizadas com acesso de leitura/gravação sempre que uma verificação histórica detecta um segredo e de acordo com suas preferências de notificação.

Não notificamos os autores de commit.

Para obter mais informações sobre como configurar as preferências de configurações, confira "Gerenciando as configurações de segurança e análise do repositório" e "Como definir as configurações de inspeção de um repositório individual."

Auditoria de respostas a alertas de verificação de segredo

Você pode auditar as ações executadas em resposta aos alertas do secret scanning usando as ferramentas do GitHub. Para obter mais informações, confira "Alertas de segurança de auditoria".