Monitoramento de alertas de varreduras secretas

Você pode configurar como o secret scanning notifica você sobre alertas do secret scanning e auditar como sua equipe responde a esses alertas.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

Neste artigo

Quando o secret scanning detecta um possível vazamento de segredos no seu repositório, manter-se informado sobre esses alertas é crucial para preservar a segurança do seu código. GitHub fornece vários canais de notificação para garantir que você e sua equipe sejam imediatamente alertados quando os segredos forem encontrados. Você pode personalizar como e quando receber essas notificações com base em sua função e preferências.

Você também pode auditar as respostas aos alertas de secret scanning para acompanhar como sua equipe gerencia problemas de segurança e manter a conformidade com as políticas de segurança da sua organização.

Configurar notificações para alertas de escaneamento de segredos

Além de exibir um alerta na aba Segurança do repositório, GitHub também pode enviar notificações por e-mail para alertas. Essas notificações são diferentes para verificações incrementais e verificações históricas.

Verificações incrementais

Quando um novo segredo é detectado, o GitHub notifica todos os usuários com acesso aos alertas de segurança do repositório de acordo com as preferências de notificação. Esses usuários incluem:

  • Administradores do repositório
  • Gerentes de segurança
  • Usuários com funções personalizadas com acesso de leitura/gravação
  • Proprietários da organização e proprietários da empresa, se forem administradores de repositórios onde os segredos foram vazados

Observação

Os autores de confirmação que acidentalmente fizeram commit de segredos serão notificados, independentemente das preferências de notificação deles.

Você receberá uma notificação por email se:

  • Estiver inspecionando o repositório.
  • Você habilitou notificações para "Todas as Atividades" ou para "Alertas de segurança" personalizados no repositório.
  • Tiver selecionado, em suas configurações de notificação, em "Assinaturas" e em "Inspeção", a opção para receber notificações por email.

Além disso, você receberá uma notificação se alguém atribuir a você um alerta code scanning ou secret scanning. Consulte Atribuindo alertas.

  1. Em GitHub, acesse a página principal do repositório.
  2. Quando um novo segredo é detectado, o GitHub notifica todos os usuários com acesso aos alertas de segurança do repositório de acordo com as preferências de notificação. Esses usuários incluem:
  • Administradores do repositório
  • Gerentes de segurança
  • Usuários com funções personalizadas com acesso de leitura/gravação
  • Proprietários da organização e proprietários da empresa, se forem administradores de repositórios onde os segredos foram vazados

Observação

Os autores de confirmação que acidentalmente fizeram commit de segredos serão notificados, independentemente das preferências de notificação deles.

Você receberá uma notificação por email se:

  • Estiver inspecionando o repositório.
  • Você habilitou notificações para "Todas as Atividades" ou para "Alertas de segurança" personalizados no repositório.
  • Tiver selecionado, em suas configurações de notificação, em "Assinaturas" e em "Inspeção", a opção para receber notificações por email.

Além disso, você receberá uma notificação se alguém atribuir a você um alerta code scanning ou secret scanning. Consulte Atribuindo alertas.

1. Em GitHub, acesse a página principal do repositório. Para começar a inspecionar o repositório, selecione <svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-eye" aria-label="eye" role="img"><path d="M8 2c1.981 0 3.671.992 4.933 2.078 1.27 1.091 2.187 2.345 2.637 3.023a1.62 1.62 0 0 1 0 1.798c-.45.678-1.367 1.932-2.637 3.023C11.67 13.008 9.981 14 8 14c-1.981 0-3.671-.992-4.933-2.078C1.797 10.83.88 9.576.43 8.898a1.62 1.62 0 0 1 0-1.798c.45-.677 1.367-1.931 2.637-3.022C4.33 2.992 6.019 2 8 2ZM1.679 7.932a.12.12 0 0 0 0 .136c.411.622 1.241 1.75 2.366 2.717C5.176 11.758 6.527 12.5 8 12.5c1.473 0 2.825-.742 3.955-1.715 1.124-.967 1.954-2.096 2.366-2.717a.12.12 0 0 0 0-.136c-.412-.621-1.242-1.75-2.366-2.717C10.824 4.242 9.473 3.5 8 3.5c-1.473 0-2.825.742-3.955 1.715-1.124.967-1.954 2.096-2.366 2.717ZM8 10a2 2 0 1 1-.001-3.999A2 2 0 0 1 8 10Z"></path></svg> Watch.

  1. Captura de tela da página principal do repositório. Um menu suspenso, intitulado "Assistir", é realçado com um contorno em laranja.

  2. No menu suspenso, clique em Todas as atividades. Como alternativa, para assinar somente alertas de segurança, clique em Personalizado e, em seguida, em Alertas de segurança.

  3. Acesse as configurações de notificação da sua conta pessoal.

  4. Elas estão disponíveis em https://github.com/settings/notifications.

    Na página de configurações de notificação, em "Assinaturas" e, em seguida, em "Inspeção", selecione o menu suspenso Notificar-me. Selecione "Email" como uma opção de notificação e clique em Salvar.

Para saber mais sobre como configurar as preferências de configurações, confira Gerenciando as configurações de segurança e análise do repositório e Como definir as configurações de inspeção de um repositório individual.

Captura de tela das configurações de notificação de uma conta de usuário.

Em "Assinaturas" e "Observação", a caixa de seleção "Email" está contornada em laranja.

  • Verificações históricas

Para verificações históricas, GitHub notifica os seguintes usuários:

Para saber mais sobre como configurar as preferências de configurações, confira Gerenciando as configurações de segurança e análise do repositório e Como definir as configurações de inspeção de um repositório individual.

Proprietários da organização, proprietários da empresa e gerentes de segurança sempre que uma verificação histórica for concluída, mesmo que nenhum segredo seja encontrado.

Você pode auditar as ações executadas em resposta aos alertas do secret scanning usando as ferramentas do GitHub. Para saber mais, confira Alertas de segurança de auditoria.