Ativar verificações de validade para o repositório

Ativar as verificações de validade no repositório ajuda a priorizar a correção de alertas, indicando se um segredo é ativo ou inativo.

Quem pode usar esse recurso?

Validity checks for partner patterns are available for the following repository types:

Neste artigo

Sobre as verificações de validade

É possível ativar verificações de validade para segredos identificados como tokens de provedor de serviços para o repositório. Com a funcionalidade ativada, o GitHub fará verificações periódicas da validade das credenciais detectadas, enviando os segredos de forma direta ao provedor como parte do programa de parceria de verificação de segredos do GitHub. Para saber mais sobre nosso programa de parceiros, confira Programa de verificação de segredo de parceiros.

O GitHub exibe o status de validação do segredo na exibição de alertas para que você possa conferir se o segredo está active ou inactive ou se o status da validação é unknown. Opcionalmente, você pode executar uma verificação de validade "sob demanda" para o segredo na exibição de alerta.

Além disso, você pode optar por habilitar as verificações de validade para encontrar padrões de parceiros. Uma vez habilitado, o GitHub fará verificações periódicas da validade de uma credencial detectada enviando o segredo diretamente ao provedor, como parte do programa de parceria de verificação de segredo formal do GitHub. O GitHub normalmente faz solicitações GET para verificar a validade da credencial, seleciona os pontos de extremidade menos intrusivos e os que não retornam informações pessoais.

O GitHub exibe o status de validação do segredo na exibição de alertas.

Você pode filtrar por status de validação na página de alertas para ajudar a priorizar em quais alertas você precisa agir.

Observação

O GitHub normalmente faz solicitações GET para verificar a validade da credencial, seleciona os pontos de extremidade menos intrusivos e os que não retornam informações pessoais.

Para saber mais sobre verificações de validade, confira Avaliando alertas da verificação de segredos.

Habilitando verificações de validade

Observação

Também é possível usar a API REST para habilitar verificações de validade para padrões de parceiros para seu repositório. Para saber mais, confira Pontos de extremidade da API REST para repositórios.

Navegue até o repositório 1. No nome do repositório, clique em Settings. Caso não consiga ver a guia "Configurações", selecione o menu suspenso , clique em Configurações.

Captura de tela de um cabeçalho de repositório que mostra as guias. A guia "Configurações" é realçada por um contorno laranja-escuro. Navegue até Segurança e Análise de Código

  1. Em "Secret Protection", à direita de "Validity checks", clique em Enable.
  2. Role até a parte inferior da página e clique em Salvar alterações.

Como alternativa, os proprietários da organização e administradores empresariais podem habilitar o recurso para todos os repositórios na organização ou empresa. Para obter mais informações sobre como habilitar nível da organização, confira Criando uma configuração de segurança personalizada. Para obter mais informações sobre como habilitar no nível empresarial, confira Criando uma configuração de segurança personalizada para sua empresa.

Leitura adicional

  •           [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning)