Enterprise Server 3.21 está disponível no momento como versão candidata a lançamento.

Verificações de validade

Verificações de validade e verificações de metadados estendidas ajudam a priorizar a correção de credenciais expostas que representam riscos imediatos à segurança.

Quem pode usar esse recurso?

O Secret scanning está disponível para os seguintes tipos de repositório:

  • Repositórios públicos: Secret scanning é executado automaticamente gratuitamente.
  • Repositórios internos e privados de propriedade da organização: disponíveis com GitHub Secret Protection ativado em GitHub Team ou GitHub Enterprise Cloud.
  • Repositórios de propriedade do usuário: Disponível em GitHub Enterprise Cloud com Enterprise Managed Users. Disponível em GitHub Enterprise Server quando a empresa tiver GitHub Secret Protection habilitado.

Executar uma avaliação de risco de segurança

Neste artigo

Sobre verificações de validade

As verificações de validade, um recurso de secret scanning, verificam se um segredo detectado ainda está ativo e pode ser explorado. Isso ajuda você a priorizar a correção focando primeiro nos segredos confirmados como ativos.

Você pode habilitar verificações automáticas de validade para segredos detectados. Uma vez habilitada, GitHub verificará periodicamente a validade de uma credencial detectada enviando o segredo para o emissor e testando-o em APIs fornecidas por esse serviço. As verificações de validade estão disponíveis para segredos de diversos provedores de serviço, e a compatibilidade continua a se expandir à medida que GitHub estabelece parceria com serviços adicionais.

GitHub prioriza a privacidade ao verificar a validade da credencial. Normalmente, fazemos solicitações GET, escolhemos os pontos de extremidade menos intrusivos e selecionamos pontos de extremidade que não retornam nenhuma informação pessoal.

GitHub exibe o status de validação do segredo no modo de exibição de alerta, para que você possa ver se o segredo é active, inactiveou se o status de validação é unknown. Opcionalmente, você pode executar uma verificação de validade "sob demanda" para o segredo no modo de exibição de alerta.

Sobre verificações de metadados estendidos

Observação

As verificações de metadados estendidos nas configurações de segurança estão atualmente em versão prévia pública e sujeitas a alterações.

As verificações de metadados estendidos fornecem informações contextuais adicionais sobre segredos detectados. Eles geralmente são chamados de analisadores em outras ferramentas.

Você pode habilitar verificações de metadados estendidas se as verificações de validade estiverem habilitadas. Em seguida, você obterá informações que o ajudarão a:

  • Obtenha informações mais profundas sobre segredos detectados: saiba quem é o proprietário de um segredo.
  • Priorizar a correção: entenda o escopo e o impacto de cada segredo exposto.
  • Melhorar a resposta a incidentes: identifique rapidamente equipes responsáveis ou indivíduos quando um segredo é vazado.
  • Aprimorar a conformidade: verifique se os segredos estão alinhados com as políticas de governança e segurança da sua organização.
  • Reduzir falsos positivos: use contexto adicional para determinar se uma detecção requer ação.

Os metadados específicos disponíveis dependem do que o provedor de serviços compartilha.GitHub Nem todos os tipos de segredo dão suporte a verificações de metadados estendidas. Para obter mais informações, consulte Avaliar alertas da verificação de segredo.

Começando com verificação de validade e metadados estendidos

Você pode habilitar a validade e as verificações de metadados estendidos no repositório, na organização ou no nível da empresa para ajudar a priorizar quais credenciais expostas representam os riscos de segurança mais imediatos.

Para grandes organizações, recomendamos o uso de configurações de segurança para habilitar esses recursos no nível da organização ou da empresa. As configurações de segurança permitem gerenciar secret scanning centralmente as configurações e aplicá-las consistentemente em muitos repositórios.

Para começar: