Esta versão do GitHub Enterprise Server será descontinuada em 2024-09-24. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, segurança aprimorada e novos recursos, atualize para a última versão do GitHub Enterprise Server. Para obter ajuda com a atualização, entre em contato com o suporte do GitHub Enterprise.

Resolvendo alertas da verificação de segredo

Depois de revisar os detalhes de um alerta de verificação de segredos, você deverá corrigir e fechar o alerta.

Quem pode usar esse recurso?

People with admin access to a repository can dismiss secret scanning alerts for the repository.

A Secret scanning estará disponível para os repositórios pertencentes a uma organização no GitHub Enterprise Server se a sua empresa tiver uma licença do GitHub Advanced Security. Para obter mais informações, confira "Sobre alertas secretos de verificação" e "Sobre a Segurança Avançada do GitHub".

Neste artigo

Corrigir alertas

Uma vez que um segredo tenha sido committed a um repositório, você deve considerar o segredo comprometido. O GitHub recomenda as seguintes ações para segredos comprometidos:

  • Para um GitHub personal access token comprometido, exclua o token comprometido, crie um novo token e atualize qualquer serviço que usa o token antigo. Para obter mais informações, confira "Gerenciar seus tokens de acesso pessoal".
  • Para todos os outros segredos, primeiro, verifique se o segredo confirmado no GitHub Enterprise Server é válido. Nesse caso, crie um segredo, atualize todos os serviços que usam o segredo antigo e, em seguida, exclua o segredo antigo.

Alertas de fechamento

Note

Secret scanning não fecha automaticamente os alertas quando o token correspondente é removido do repositório. É necessário fechar manualmente esses alertas na lista de alertas no GitHub.

  1. No sua instância do GitHub Enterprise Server, navegue até a página principal do repositório.

  2. Abaixo do nome do repositório, clique em Segurança. Caso não consiga ver a guia "Segurança", selecione o menu suspenso e clique em Segurança.

    Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Segurança" é realçada por um contorno laranja escuro.

  3. Na barra lateral esquerda, em "Alertas de vulnerabilidades", clique em Secret scanning .

  4. Em "Secret scanning", clique no alerta que você deseja exibir.

  5. Para ignorar um alerta, selecione o menu suspenso "Fechar como" e clique em um motivo para resolver um alerta.

    Captura de tela de um alerta do secret scanning. Um menu suspenso, intitulado "Fechar como", é expandido e realçado com um contorno em laranja escuro.

  6. Opcionalmente, no campo "Comentário", adicione um comentário de ignorar. O comentário de ignorar será adicionado à linha do tempo do alerta e pode ser usado como justificativa em auditorias e relatórios. Você pode exibir o histórico de todos os alertas ignorados e comentários de demissão na linha do tempo do alerta. Você também pode recuperar ou definir um comentário usando a API do Secret scanning. O comentário está contido no campo resolution_comment. Para obter mais informações, confira "Pontos de extremidade da API REST para verificação de segredos" na documentação da API REST.

  7. Clique em Fechar alerta.

Próximas etapas