Detecção responsável de segredos genéricos com a varredura de segredos do Copilot

Saiba como Verificação de segredos do Copilot usa a IA com responsabilidade para verificar e criar alertas para segredos não estruturados, como senhas.

Quem pode usar esse recurso?

O Verificação de segredos do Copilot está disponível para os seguintes tipos de repositórios:

Neste artigo

Sobre detecção de segredo genérico com Verificação de segredos do Copilot

          Verificação de segredos do Copilot's detecção de segredo genérico é uma expansão secret scanning alimentada por IA que identifica segredos não estruturados (senhas) em seu código-fonte e, em seguida, gera um alerta.

Observação

Você não precisa de uma assinatura de GitHub Copilot para usar o detecção de segredo genérico do Verificação de segredos do Copilot. Os recursos do Verificação de segredos do Copilot estão disponíveis para repositórios de propriedade de organizações e empresas que têm uma licença para o GitHub Secret Protection.

          GitHub Secret Protection os usuários já estão aptos a receber alertas de escaneamento de segredos por padrões de parceiros ou personalizados encontrados em seu código-fonte, mas segredos não estruturados não são facilmente detectáveis. 
          Verificação de segredos do Copilot usa LLMs (modelos de linguagem de grande escala) para identificar esse tipo de segredo.

Quando uma senha é detectada, um alerta é exibido na lista "Genérica" de secret scanning alertas (na Security and quality guia do repositório, organização ou empresa), para que os mantenedores e gerentes de segurança possam examinar o alerta e, quando necessário, remover a credencial ou implementar uma correção.

          Para usuários com GitHub Enterprise Cloud, um proprietário da empresa deve primeiro definir uma política no nível empresarial que controla se o detecção de segredo genérico pode ser habilitado e desabilitado em repositórios de uma organização. Por padrão, essa política é definida como "permitida". Em seguida, o recurso deve ser habilitado para repositórios e organizações.

Processamento de entrada

A entrada é limitada ao texto (normalmente código) que um usuário verificou em um repositório. O sistema fornece esse texto para o LLM com um meta prompt solicitando que o LLM encontre senhas dentro do escopo da entrada. O usuário não interage diretamente com o LLM.

O sistema verifica senhas usando o LLM. Nenhum dado adicional é coletado pelo sistema, exceto o que já é coletado pelo recurso existente secret scanning .

Saída e exibição

O LLM verifica se há cadeias de caracteres semelhantes a senhas e verifica se as cadeias de caracteres identificadas incluídas na resposta realmente existem na entrada.

Essas cadeias de caracteres detectadas são exibidas como alertas na secret scanning página de alertas, mas são exibidas em uma lista adicional separada da regular alertas de escaneamento de segredos. A intenção é que essa lista separada passe por uma triagem mais cuidadosa para verificar a validade das descobertas. Cada alerta observa que ele foi detectado usando IA. Para obter informações sobre como exibir alertas para segredos genéricos, consulte Exibindo e filtrando alertas do escaneamento de segredos.

Melhorando o desempenho de detecção de segredo genérico

Para melhorar o desempenho de detecção de segredo genérico, recomendamos fechar adequadamente os alertas de falsos positivos.

Verificar a precisão dos alertas e fechar conforme apropriado

Como o recurso Verificação de segredos do Copilotdetecção de segredo genérico pode gerar mais falsos positivos do que o recurso existente secret scanning para padrões de parceiros, é importante que você examine a precisão desses alertas. Quando você verificar que um alerta é um falso positivo, certifique-se de fechar o alerta e marcar o motivo como "Falso positivo" na interface de usuário do GitHub. A GitHub equipe de desenvolvimento usará informações sobre locais de detecção e volume falso positivo para melhorar o modelo. GitHub não tem acesso aos literais secretos em si.

Limitações de detecção de segredo genérico

Ao usar Verificação de segredos do Copilot's detecção de segredo genérico, você deve considerar as limitações a seguir.

Escopo limitado

          Detecção de segredo genérico atualmente procura apenas instâncias de senhas no conteúdo do Git. O recurso não procura outros tipos de segredos genéricos e não procura segredos em conteúdo não git, como GitHub Issues.

Potencial para alertas de falso positivo

          Detecção de segredo genérico pode gerar mais alertas falsos positivos quando comparados com o recurso existente secret scanning (que detecta padrões de parceiro e que tem uma taxa de falso positivo muito baixa). Para reduzir esse ruído em excesso, os alertas são agrupados em uma lista distinta dos alertas de padrões de parceiros e os gerentes e mantenedores de segurança devem fazer triagem de cada alerta para verificar sua precisão.

Potencial para relatórios incompletos

          Detecção de segredo genérico pode não detectar instâncias de credenciais inseridas em um repositório. O LLM vai melhorar com o tempo. Você tem a responsabilidade final de garantir a segurança do seu código.

Limitações por design

          Detecção de segredo genérico tem as seguintes limitações por design:

* Verificação de segredos do Copilot não detectará segredos que são, obviamente, senhas falsas ou de teste ou senhas com baixa entropia. * Verificação de segredos do Copilot detectará apenas um máximo de 100 senhas por push.

  • Se cinco ou mais segredos detectados em um único arquivo forem marcados como falsos positivos, Verificação de segredos do Copilot interromperá a geração de novos alertas para esse arquivo.
  •         Verificação de segredos do Copilot não detecta segredos em arquivos gerados ou de terceiros.

  •         Verificação de segredos do Copilot não detecta segredos em arquivos criptografados.

  •         Verificação de segredos do Copilot não detecta segredos em tipos de arquivo: SVG, PNG, JPEG, CSV, TXT, SQL ou ITEM.

  •         Verificação de segredos do Copilot não detecta segredos no código de teste. 
        Verificação de segredos do Copilot ignora as detecções quando ambas as condições são atendidas:
    • O caminho do arquivo contém "test", "mock" ou "spec", AND
    • A extensão do arquivo é .cs, .go, .java, .js, .kt, .php, .py, .rb, .scala, .swift ou .ts.

Avaliação de detecção de segredo genérico

          Detecção de segredo genérico foi submetido ao Red Teaming responsável em IA e GitHub continuará monitorando a eficácia e a segurança do recurso ao longo do tempo.

Próximas etapas

  •         [AUTOTITLE](/code-security/secret-scanning/copilot-secret-scanning/enabling-ai-powered-generic-secret-detection)

  •         [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning)

Leitura adicional

  •         [AUTOTITLE](/code-security/secret-scanning/introduction/about-secret-scanning)