Quando credenciais como chaves de API e senhas são confirmadas em repositórios como segredos codificados, elas se tornam destinos para acesso não autorizado. Secret scanning detecta automaticamente vazamentos de credenciais para que você possa protegê-los antes que eles sejam explorados.
Dica
A qualquer momento, você pode executar uma avaliação gratuita do código da sua organização para segredos vazados.
Para gerar um relatório, abra a Security and quality aba da sua organização, exibir a página Avaliações e, em seguida, clicar em Examinar sua organização.
Como a verificação secreta protege seu código
Secret scanning verifica todo o histórico do Git em todos os branches do repositório em busca de credenciais codificadas, incluindo chaves de API, senhas, tokens e outros tipos de segredo conhecidos. Isso ajuda a identificar a expansão secreta, a proliferação descontrolada de credenciais entre repositórios, antes que ela se torne um risco à segurança.
GitHub também reanalisa os repositórios periodicamente quando novos tipos de segredos são adicionados.
GitHub também verifica automaticamente:
- Descrições e comentários em tópicos
- Títulos, descrições e comentários, em problemas históricos abertos e fechados
- Títulos, descrições e comentários em pull requests
- Títulos, descrições e comentários em GitHub Discussions
- Wikis
- Gists secretos
Secret scanning alertas e correção
Quando secret scanning detecta um vazamento de credencial, GitHub gera um alerta na guia do Security and quality repositório com detalhes sobre a credencial exposta.
Quando você receber um alerta, gire a credencial afetada imediatamente para impedir o acesso não autorizado. Embora você também possa remover segredos do seu histórico do Git, isso é demorado e muitas vezes desnecessário se você já revogou a credencial.
Integração de parceiros
GitHub faz parceria com uma grande variedade de provedores de serviços para validar segredos detectados. Quando um segredo de parceiro é detectado, notificamos o provedor para que ele possa tomar medidas, como revogar a credencial. Os segredos do parceiro são relatados diretamente ao provedor e não são exibidos nos alertas do repositório. Para saber mais, confira [AUTOTITLE](/code-security/secret-scanning/secret-scanning-partnership-program/secret-scanning-partner-program).
Personalização
Além da detecção padrão de segredos de parceiros e provedores, você pode expandir e personalizar secret scanning para atender às suas necessidades.
- Padrões de não provedores. Expanda a detecção de segredos que não estão vinculados a um provedor de serviços específico, como chaves privadas, cadeias de conexão e chaves de API genéricas.
- Padrões personalizados. Defina suas próprias expressões regulares para detectar segredos específicos da organização que não são cobertos por padrões padrão.
- Verificações de validade. Priorize a correção verificando se os segredos detectados ainda estão ativos.
Copilot verificação secreta.** Use a IA para detectar segredos não estruturados, como senhas, ou para gerar expressões regulares para padrões personalizados.
Sobre verificações de validade
As verificações de validade ajudam você a priorizar quais segredos corrigir primeiro verificando se um segredo detectado ainda está ativo. Quando você habilita as verificações de validade, secret scanning pode entrar em contato com o serviço emissor para determinar se a credencial foi revogada.
As verificações de validade são separadas do programa de parceiros de secret scanning. Embora os segredos do parceiro sejam relatados automaticamente aos provedores de serviços para revogação, as verificações de validade verificam o status dos segredos que você gerencia em seus próprios alertas. Para saber mais, confira Sobre verificações de validade.
Como posso acessar esse recurso?
O Secret scanning está disponível para os seguintes tipos de repositório:
- Repositórios públicos: Secret scanning é executado automaticamente gratuitamente.
- Repositórios internos e privados de propriedade da organização: disponíveis com GitHub Secret Protection ativado em GitHub Team ou GitHub Enterprise Cloud.
- Repositórios de propriedade do usuário: Disponível em GitHub Enterprise Cloud com Enterprise Managed Users. Disponível em GitHub Enterprise Server quando a empresa tiver GitHub Secret Protection habilitado.
Próximas etapas
- Se você recebeu um alerta, consulte Gerenciar alertas de verificação de segredo para saber como revisar, resolver e corrigir segredos expostos.
- Se você estiver protegendo uma organização, consulte Executando a avaliação de risco secreto para sua organização para determinar a exposição da sua organização a segredos vazados.
Leitura adicional
- Para ver uma lista completa de segredos e provedores de serviços com suporte, consulte Padrões de varredura de segredos com suporte.