Avaliar alertas da verificação de segredo

Sobre a avaliação de alertas

Existem alguns recursos adicionais que podem ajudar você a avaliar alertas para melhor priorizá-los e gerenciá-los. É possível:

• Verificar a validade de um segredo para averiguar se ele ainda está ativo. Consulte Verificar a validade de um segredo.
• Revisar os metadados de um token. Aplica-se somente a tokens GitHub. Por exemplo, para verificar a data da última utilização do token. Consulte Analisando os metadados de token GitHub.

Verificar a validade de um segredo

As verificações de validade ajudam a priorizar os alertas, informando quais segredos estão active ou inactive. Um segredo active ainda pode ser explorado, então esses alertas devem ser analisados e corrigidos como prioridade.

Por padrão, a GitHub verifica a validade dos tokens GitHub e exibe o status de validação do token na exibição de alerta.

Organizações que usam o GitHub Team ou o GitHub Enterprise Cloud com uma licença do GitHub Secret Protection também podem habilitar as verificações de segurança para padrões de parceiros. Para obter mais informações, confira Verificando a validade de um segredo.

Validade	Status	Resultado
Segredo ativo	active	O GitHub consultou o provedor desse segredo e descobriu que o segredo está ativo
Segredo possivelmente ativo	unknown	O GitHub ainda não dá suporte a verificações de validação desse tipo de token
Segredo possivelmente ativo	unknown	O GitHub não pôde verificar esse segredo
Segredo inativo	inactive	Você deve ter certeza de que não ocorreu nenhum acesso não autorizado

Você pode usar a API REST para recuperar uma lista do status de validação mais recente para cada um dos seus tokens. Para obter mais informações, confira Pontos de extremidade da API REST para verificação de segredos na documentação da API REST. Também é possível usar webhooks para receber notificação sobre atividades relacionadas a um alerta secret scanning. Para obter mais informações sobre o evento, consulte secret_scanning_alert em Eventos e cargas de webhook.

Revisando metadados de token do GitHub

Na exibição de um alerta de token ativo do GitHub, você pode examinar determinados metadados sobre o token. Esses metadados podem ajudá-lo a identificar o token e decidir quais etapas de correção devem ser tomadas.

Tokens, como personal access token e outras credenciais, são considerados informações pessoais. Para obter mais informações sobre como usar tokens do GitHub, consulte a Política de Privacidade do GitHub e as Políticas de Uso Aceitável.

Os metadados para tokens de GitHub estão disponíveis para tokens ativos em qualquer repositório com a verificação de segredo habilitada. Se um token tiver sido revogado ou seu status não puder ser validado, os metadados não estarão disponíveis. GitHub revoga automaticamente tokens de GitHub em repositórios públicos, portanto, é improvável que os metadados para tokens de GitHub em repositórios públicos estejam disponíveis. Os seguintes metadados estão disponíveis para tokens ativos do GitHub:

Metadados	Description
Nome do segredo	O nome dado ao token GitHub por seu criador
Proprietário do segredo	O identificador de GitHub do proprietário do token
Criado em	Data em que o token foi criado
Expirou em	Data em que o token expirou
Usado pela última vez em	Data em que o token foi usado pela última vez
Access	Se o token tem acesso à organização

Somente pessoas com permissões de administrador para o repositório que contém um segredo vazado podem exibir detalhes de alerta de segurança e metadados de token para um alerta. Os proprietários da empresa podem solicitar acesso temporário ao repositório com essa finalidade. Se o acesso for concedido, o GitHub notificará o proprietário do repositório que contém o segredo vazado, relatará a ação nos logs de auditoria do proprietário do repositório e da empresa e habilitará o acesso por duas horas.

Próximas etapas

•         [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/resolving-alerts)