Sobre a verificação secreta para parceiros

Quando secret scanning detecta detalhes de autenticação para um provedor de serviços em um repositório público em GitHub, um alerta é enviado diretamente ao provedor. Isso permite que os provedores de serviços que são GitHub parceiros tomem medidas prontamente para proteger seus sistemas.

Quem pode usar esse recurso?

O Alertas de verificação de segredo para parceiros é executado por padrão nos seguintes repositórios:

  • Repositórios públicos e pacotes npm públicos no GitHub.

Neste artigo

Sobre o alertas de verificação de segredo para parceiros

          GitHub verifica repositórios públicos e pacotes npm públicos em busca de segredos emitidos por provedores de serviços específicos que ingressaram em nosso programa de parceria, e alerta o provedor de serviços relevante sempre que um segredo é detectado em um commit. O prestador do serviço irá validar a string e, em seguida, decidirá se deve revogar o segredo, emitir um novo segredo ou entrar em contato com você diretamente. A sua ação dependerá dos riscos que associados a você ou a eles.

Para saber mais sobre nosso programa de parceiros, confira Programa de verificação de segredo de parceiros.

Observação

Não é possível alterar a configuração de padrões de secret scanning parceiro em repositórios públicos.

          Alertas de verificação de segredo para parceiros Verificações:
  • Descrições e comentários em tópicos
  • Títulos, descrições e comentários, em problemas históricos abertos e fechados
  • Títulos, descrições e comentários em pull requests
  • Títulos, descrições e comentários em GitHub Discussions
  • Wikis
  • Gists secretos

O motivo pelo qual os alertas de parceiros são enviados diretamente aos provedores de segredos sempre que um vazamento é detectado em um de seus segredos é que isso permite que o provedor tome medidas imediatas para proteger você e seus recursos. O processo de notificação para alertas regulares é diferente. Alertas regulares são exibidos na guia Security and quality no repositório GitHub para você resolver.

Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. Isso garante que os vazamentos mais críticos não estejam ocultos por trás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.

Quais são os segredos suportados?

Para obter informações sobre os segredos e provedores de serviços suportados pela proteção push, consulte Padrões de varredura de segredos com suporte.

Leitura adicional

  •         [AUTOTITLE](/code-security/secret-scanning/introduction/about-secret-scanning)

  •         [AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns)

  •         [AUTOTITLE](/code-security/secret-scanning/secret-scanning-partnership-program/secret-scanning-partner-program)