Sobre a avaliação de alertas
Existem alguns recursos adicionais que podem ajudar você a avaliar alertas para melhor priorizá-los e gerenciá-los. É possível:
- Verificar a validade de um segredo para averiguar se ele ainda está ativo. Consulte Verificar a validade de um segredo.
- Executar uma verificação de validade "sob demanda" para obter o status de validação mais atualizado. Consulte a execução de uma verificação de validade sob demanda.
- Revisar os metadados de um token. Aplica-se somente a tokens GitHub. Por exemplo, para verificar a data da última utilização do token. Consulte Analisando os metadados de token GitHub.
- Examine as verificações de metadados estendidos para um segredo exposto, para ver detalhes como quem possui o segredo e como contatar o proprietário do segredo. Aplica-se somente a tokens da API OpenAI, Google OAuth e Slack. Consulte Revisão de metadados estendidos para um token.
- Revise os rótulos atribuídos ao alerta. Para obter mais informações, consulte Revisão de rótulos de alertas.
Verificar a validade de um segredo
As verificações de validade ajudam a priorizar os alertas, informando quais segredos estão active ou inactive. Um segredo active ainda pode ser explorado, então esses alertas devem ser analisados e corrigidos como prioridade.
Por padrão, a GitHub verifica a validade dos tokens GitHub e exibe o status de validação do token na exibição de alerta.
Organizações que usam o GitHub Team ou o GitHub Enterprise Cloud com uma licença do GitHub Secret Protection também podem habilitar as verificações de segurança para padrões de parceiros. Para obter mais informações, confira Verificando a validade de um segredo.
| Validade | Status | Resultado |
|---|---|---|
| Segredo ativo | active | O GitHub consultou o provedor desse segredo e descobriu que o segredo está ativo |
| Segredo possivelmente ativo | unknown | O GitHub ainda não dá suporte a verificações de validação desse tipo de token |
| Segredo possivelmente ativo | unknown | O GitHub não pôde verificar esse segredo |
| Segredo inativo | inactive | Você deve ter certeza de que não ocorreu nenhum acesso não autorizado |
As verificações de validade para padrões de parceiros estão disponíveis para os seguintes tipos de repositório:
- Repositórios pertencentes à organização no GitHub Team ou GitHub Enterprise Cloud com a GitHub Secret Protection habilitada
As verificações de validade para padrões de parceiro não estão disponíveis para GitHub Enterprise Cloud com residência de dados em GHE.com.
Para obter informações sobre como habilitar verificações de validade para encontrar padrões de parceiro, confira Ativar verificações de validade para o repositório e para obter informações sobre quais padrões de parceiro são compatíveis atualmente, confira Padrões de varredura de segredos com suporte.
Você pode usar a API REST para recuperar uma lista do status de validação mais recente para cada um dos seus tokens. Para obter mais informações, confira Pontos de extremidade da API REST para verificação de segredos na documentação da API REST. Também é possível usar webhooks para receber notificação sobre atividades relacionadas a um alerta secret scanning. Para obter mais informações sobre o evento, consulte secret_scanning_alert em Eventos e cargas de webhook.
Perguntar a GitHub Copilot Chat (Chat do GitHub Copilot) sobre alertas de secret scanning
Com uma licença GitHub Copilot Enterprise, você também pode pedir ajuda ao Bate-papo do Copiloto para entender melhor alertas de segurança, incluindo os alertas do secret scanning, nos repositórios da sua organização. Para saber mais, confira Como fazer perguntas ao GitHub Copilot no GitHub.
Executar uma verificação de validade sob demanda
Após habilitar verificações de validade para encontrar padrões de parceiros no repositório, você pode executar uma verificação de validade "sob demanda" para qualquer segredo compatível clicando em Verify secret na exibição de alertas. O GitHub enviará o padrão ao parceiro relevante e exibirá o status de validação do segredo na exibição de alertas.
Revisando metadados de token do GitHub
Observação
Os metadados dos tokens GitHub estão atualmente em versão prévia pública e sujeitos a alterações.
Na exibição de um alerta de token ativo do GitHub, você pode examinar determinados metadados sobre o token. Esses metadados podem ajudá-lo a identificar o token e decidir quais etapas de correção devem ser tomadas.
Tokens, como personal access token e outras credenciais, são considerados informações pessoais. Para obter mais informações sobre como usar tokens do GitHub, consulte a Política de Privacidade do GitHub e as Políticas de Uso Aceitável.
Os metadados para tokens de GitHub estão disponíveis para tokens ativos em qualquer repositório com a verificação de segredo habilitada. Se um token tiver sido revogado ou seu status não puder ser validado, os metadados não estarão disponíveis. GitHub revoga automaticamente tokens de GitHub em repositórios públicos, portanto, é improvável que os metadados para tokens de GitHub em repositórios públicos estejam disponíveis. Os seguintes metadados estão disponíveis para tokens ativos do GitHub:
| Metadados | Description |
|---|---|
| Nome do segredo | O nome dado ao token GitHub por seu criador |
| Proprietário do segredo | O identificador de GitHub do proprietário do token |
| Criado em | Data em que o token foi criado |
| Expirou em | Data em que o token expirou |
| Usado pela última vez em | Data em que o token foi usado pela última vez |
| Access | Se o token tem acesso à organização |
Somente pessoas com permissões de administrador para o repositório que contém um segredo vazado podem exibir detalhes de alerta de segurança e metadados de token para um alerta. Os proprietários da empresa podem solicitar acesso temporário ao repositório com essa finalidade. Se o acesso for concedido, o GitHub notificará o proprietário do repositório que contém o segredo vazado, relatará a ação nos logs de auditoria do proprietário do repositório e da empresa e habilitará o acesso por duas horas. Para obter mais informações, confira Como acessar repositórios de propriedade do usuário em sua empresa.
Revisão de metadados estendidos para um token
Observação
As verificações de metadados estendidos para tokens estão em versão prévia pública e sujeitas a alterações.
Na exibição de um alerta de token GitHub ativo, você pode ver informações de metadados estendidos, como detalhes de proprietário e contato.
A tabela a seguir mostra todos os metadados disponíveis. Note que as verificações de metadados estão atualmente limitadas a tokens da API do OpenAI, Google OAuth e Slack, e os metadados mostrados para cada token podem representar apenas um subconjunto do que existe.
| Tipo de Metadados | Description |
|---|---|
| ID do Proprietário | Identificador exclusivo do provedor para o usuário ou a conta de serviço que possui o segredo |
| Nome do proprietário | Nome de usuário legível por humanos ou nome de exibição do proprietário do segredo |
| Email do proprietário | Endereço de email associado ao proprietário |
| Nome da organização | Nome da organização/workspace/projeto ao qual o segredo pertence |
| ID da organização | Identificador exclusivo do provedor para essa organização |
| Data de emissão do documento confidencial | Carimbo de data/hora quando o segredo (token ou chave) foi criado ou emitido mais recentemente |
| Data de expiração do segredo | Carimbo de data/hora quando o segredo está agendado para expirar |
| Nome do segredo | Nome de exibição ou rótulo atribuído por humanos para o segredo |
| ID secreto | Identificador exclusivo do provedor do segredo |
Revisar rótulos de alerta
No modo de exibição de alerta, você pode revisar todos os rótulos atribuídos ao alerta. Os rótulos fornecem detalhes adicionais sobre o alerta, que podem informar a abordagem adotada para correção.
Alertas de Secret scanning podem ter os rótulos a seguir atribuídos a eles. Dependendo dos rótulos atribuídos, você verá informações adicionais na exibição de alerta.
| Etiqueta | Description | Informações de exibição de alerta |
|---|---|---|
public leak | O segredo detectado no seu repositório também foi encontrado como vazado publicamente por pelo menos uma das verificações de código, discussões, gists, problemas, solicitações pull e wikis do GitHub. Isso pode exigir que você aborde o alerta com maior urgência ou corrija o alerta de forma diferente em comparação com um token exposto de forma privada. | Você verá links para todos os locais públicos específicos em que o segredo vazado foi detectado. |
multi-repo | O segredo detectado no seu repositório foi encontrado em vários repositórios em sua organização ou empresa. Essas informações podem ajudar você a eliminar a duplicação do alerta com mais facilidade na sua organização ou empresa. | Se você tiver as permissões apropriadas, verá links para alertas específicos para o mesmo segredo em sua organização ou empresa. |
Próximas etapas
-
[AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/resolving-alerts)