Esta versão do GitHub Enterprise Server será descontinuada em 2026-04-09. Nenhum lançamento de patch será feito, mesmo para questões críticas de segurança. Para obter melhor desempenho, segurança aprimorada e novos recursos, atualize para a última versão do GitHub Enterprise Server. Para obter ajuda com a atualização, entre em contato com o suporte do GitHub Enterprise.

Manter suas credenciais de API seguras

Siga estas práticas recomendadas para manter as suas credenciais de API e tokens seguros.

Neste artigo

Escolha um método de autenticação apropriado

Você deve escolher um método de autenticação apropriado para a tarefa que deseja realizar.

  • Para usar a API para uso pessoal, você pode criar uma personal access token.
  • Para usar a API em nome de uma organização ou de outro usuário, você deve criar uma GitHub App.
  • Para usar a API em um GitHub Actions fluxo de trabalho, você deve se autenticar com o GITHUB_TOKEN integrado.

Para saber mais, confira Sobre a autenticação para GitHub.

Limitar as permissões de suas credenciais

Ao criar um personal access token, selecione apenas as permissões mínimas ou escopos necessários e defina uma data de validade para o período mínimo de tempo necessário para usar o token. GitHub recomenda que você use fine-grained personal access token no lugar de personal access tokens (classic). Para saber mais, confira Gerenciar seus tokens de acesso pessoal.

Um token tem os mesmos recursos para acessar recursos e executar ações nesses recursos que o proprietário do token e é ainda mais limitado por quaisquer escopos ou permissões concedidos ao token. Um token não pode conceder recursos de acesso adicionais a um usuário.

Ao criar um GitHub App, selecione as permissões mínimas que seu GitHub App precisará. Para saber mais, confira Práticas recomendadas para criar um aplicativo GitHub.

Ao autenticar com GITHUB_TOKEN em um GitHub Actions fluxo de trabalho, forneça apenas a quantidade mínima de permissões necessárias. Para saber mais, confira Usar GITHUB_TOKEN para autenticação em fluxos de trabalho.

Armazene suas credenciais de autenticação com segurança

Trate as credenciais de autenticação da mesma maneira que você trataria suas senhas ou outras credenciais confidenciais.

  • Não compartilhe credenciais de autenticação usando um sistema de mensagens ou email não criptografado.
  • Não passe seu personal access token como texto em claro no comando de linha. Para saber mais, confira Gerenciar seus tokens de acesso pessoal.
  • Não envie por push credenciais de autenticação não criptografadas, como tokens ou chaves, para qualquer repositório, mesmo que o repositório seja privado. Em vez disso, considere usar um GitHub Actions segredo de Codespaces. Para obter mais informações, consulte Usar segredos em ações do GitHub.
  • Você pode usar a varredura de segredo para descobrir tokens, chaves privadas e outros segredos que foram enviados para um repositório ou para bloquear envios futuros que contêm segredos. Para saber mais, confira Sobre a verificação de segredo.

Limite quem pode acessar suas credenciais de autenticação

Não compartilhe o seu personal access token com outras pessoas. Em vez de compartilhar um personal access token, considere a criação de um GitHub App. Para saber mais, confira Sobre a criação de aplicativos GitHub.

Se você precisar compartilhar credenciais com uma equipe, armazene as credenciais em um sistema compartilhado seguro. Por exemplo, você pode armazenar e compartilhar senhas com segurança usando 1Password ou armazenar chaves em Azure KeyVault e gerenciar o acesso com seu IAM (gerenciamento de identidade e acesso).

Se você estiver criando um GitHub Actions fluxo de trabalho que precisa acessar a API, poderá armazenar suas credenciais em um segredo criptografado e acessar o segredo criptografado do fluxo de trabalho. Para saber mais, confira Usar segredos em ações do GitHub e Fazer solicitações de API autenticadas com um aplicativo GitHub em um fluxo de trabalho GitHub Actions.

Usar credenciais de autenticação com segurança em seu código

Nunca codifique credenciais de autenticação como tokens, chaves ou segredos relacionados ao aplicativo em seu código. Em vez disso, considere usar um gerenciador de segredos como Azure Key Vault ou HashiCorp Vault. Para obter mais informações sobre como proteger GitHub App credenciais, consulte Práticas recomendadas para criar um aplicativo GitHub.

Ao usar um personal access token em um script, considere armazenar seu token como um GitHub Actions segredo e executar seu script por meio de GitHub Actions. Para obter mais informações, consulte Usar segredos em ações do GitHub.

Se nenhuma dessas opções for possível, você poderá armazenar credenciais de autenticação em um arquivo .env. Criptografe seu arquivo .env e nunca efetue push dele para nenhum repositório.

Preparar um plano de correção

Você deve criar um plano para lidar com quaisquer violações de segurança em tempo hábil. Caso o token ou outra credencial de autenticação seja vazado, você precisará:

  • Gerar uma nova credencial.
  • Substituir a credencial antiga pela nova em todos os lugares em que você está armazenando ou acessando a credencial.
  • Excluir a antiga credencial comprometida.

Para obter informações sobre como substituir credenciais comprometidas para um GitHub App, consulte Práticas recomendadas para criar um aplicativo GitHub.

Para obter informações sobre como criar e excluir personal access tokens, consulte Gerenciar seus tokens de acesso pessoal.