Skip to main content
Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para acessar as informações mais atualizadas, visite a Documentação em inglês.
 

 

Gerenciar alertas da verificação de segredo

Neste artigo

Você pode visualizar e fechar alertas de segredos verificados para seu repositório.

Who can use this feature

People with admin access to a repository can view and dismiss alerts.

Para obter mais informações, confira "[Produtos do GitHub](/articles/githubs-products)".

Gerenciando alertas de secret scanning

  1. No , navegue até a página principal do repositório. 1. Abaixo do nome do repositório, clique em Segurança. Guia Segurança

  2. Na barra lateral esquerda, clique em Alertas da verificação de segredos.

  3. Em "Escaneamento de segredos", clique no alerta que desejar visualizar.

  4. Para ignorar um alerta, selecione o menu suspenso "Ignorar alerta" e clique em um motivo para resolver um alerta.

    Captura de tela do menu suspenso para ignorar um alerta da verificação de segredo

  5. Opcionalmente, adicione um comentário de ignorar. O comentário de ignorar será adicionado à linha do tempo do alerta e pode ser usado como justificativa em auditorias e relatórios. Você pode exibir o histórico de todos os alertas ignorados e comentários de demissão na linha do tempo do alerta. Você também pode recuperar ou definir um comentário usando a API do Secret scanning. O comentário está contido no campo resolution_comment. Para obter mais informações, confira "Secret scanning" na documentação da API REST.

    Captura de tela mostrando como ignorar um alerta por meio do menu suspenso "Descartar alerta", com a opção de adicionar um comentário de ignorar

  6. Clique em Ignorar alerta.

Protegendo segredos comprometidos

Uma vez que um segredo tenha sido committed a um repositório, você deve considerar o segredo comprometido. O GitHub recomenda as seguintes ações para segredos comprometidos:

  • Para um GitHub personal access token comprometido, exclua o token comprometido, crie um novo token e atualize qualquer serviço que usa o token antigo. Para obter mais informações, confira "Como criar um personal access token para a linha de comando".
  • Para todos os outros segredos, primeiro, verifique se o segredo confirmado no GitHub é válido. Nesse caso, crie um segredo, atualize todos os serviços que usam o segredo antigo e, em seguida, exclua o segredo antigo.

Configurando notificações para alertas de secret scanning

Quando um novo segredo é detectado, o GitHub notifica todos os usuários com acesso aos alertas de segurança do repositório de acordo com as preferências de notificação. Você receberá uma notificação por email se estiver inspecionando o repositório, se tiver habilitado as notificações de alertas de segurança ou de todas as atividades no repositório ou se você for o autor do commit que contém o segredo e não estiver ignorando o repositório.

Para obter mais informações, confira "Como gerenciar as configurações de segurança e análise para seu repositório" e "Como configurar notificações".