Escolhendo a GitHub Secret Protection

Saiba como o GitHub Secret Protection pode ajudar você a detectar segredos em suas bases de código e evitar vazamentos antes que eles ocorram usando ferramentas de monitoramento e prevenção contínua.

Quem pode usar esse recurso?

A GitHub Secret Protection é um conjunto de recursos no GitHub Advanced Security que está disponível para os seguintes usuários:

  • Usuários do plano GitHub Team
  • Organizações empresariais no GitHub Enterprise Cloud e no GitHub Enterprise Server

Neste artigo

Sobre a GitHub Secret Protection

A Secret Protection inclui os recursos a seguir para ajudar você a detectar e evitar vazamentos de segredos, permitindo o monitoramento e a detecção contínuos. Para obter detalhes dos recursos e sua disponibilidade, consulte GitHub Secret Protection.

  • Secret scanning: detecte segredos, por exemplo, chaves e tokens, que foram inseridos em um repositório e receba alertas.

  • Proteção de push: evite vazamentos de segredos antes que eles ocorram bloqueando commits que contêm segredos.

  • Verificação de segredos do Copilot: aproveite a IA para detectar credenciais não estruturadas, como senhas, que foram inseridas em um repositório.

  • Padrões personalizados: detecte e impeça vazamentos de segredos específicos da organização.

  • Bypass delegado para proteção de push e Dispensa de alerta delegada: implemente um processo de aprovação para melhor controle sobre quem em sua empresa pode executar ações confidenciais, dando suporte à governança em escala.

  • Visão geral de segurança: entenda a distribuição de risco em toda a sua organização.

Além disso, a Secret Protection inclui um recurso de verificação gratuita, o relatório de avaliação de risco, para ajudar as organizações a entender seu volume de vazamentos de segredos em seu perímetro do GitHub. Confira Sobre a avaliação de risco de segredo.

A Secret Protection é cobrada por committer ativo para os repositórios em que está habilitada. Ela está disponível para usuários com um plano GitHub Team ou GitHub Enterprise; confira Sobre a cobrança do GitHub Advanced Security.

Por que você deve habilitar a Secret Protection para 100% dos repositórios da sua organização

O GitHub recomenda habilitar produtos da GitHub Secret Protection para todos os repositórios, a fim de proteger sua organização contra o risco de vazamentos e exposições de segredos. A habilitação da GitHub Secret Protection é gratuita para repositórios públicos e fica disponível como um complemento adquirível para repositórios privados e internos.

  • A secret risk assessment gratuita verifica somente o código em sua organização, incluindo o código em repositórios arquivados. Você pode estender a superfície que está sendo verificada para cobrir o conteúdo em pull requests, issues, wikis e GitHub Discussions com GitHub Secret Protection.. Confira Sobre a verificação de segredo

  • A secret risk assessment e a secret scanning verificam o código que já foi confirmado em seus repositórios. Com a proteção de push, seu código é verificado em busca de segredos antes que os commits sejam salvos no GitHub, durante o processo de push, e o push é bloqueado se algum segredo é detectado. Confira Sobre a proteção por push.

  • Se você tiver um ou mais padrões de segredos internos à sua organização, eles não serão detectados pelos padrões compatíveis com a secret scanning. Você pode definir padrões personalizados que são válidos apenas em sua organização e estender os recursos da secret scanning para detectar esses padrões. Confira Definir padrões personalizados para a verificação de segredo.

  • Saber quais segredos podem ser explorados facilita a priorização da correção de segredos vazados encontrados pela secret scanning. As verificações de validade informam se um segredo ativo ainda pode ser explorado, então esses alertas devem ser analisados e corrigidos como prioridade. Confira Habilitar verificações de validade para seu repositório.

  • Talvez você também queira detectar vazamentos de segredos não estruturados, como senhas. Isso é possível com nossa Verificação de segredos do Copilot da plataforma de IA. Confira Detecção responsável de segredos genéricos com a verificação de segredos do Copilot.

  • Visualizar a prevenção, a detecção e a correção de dados de segurança é fundamental para saber para onde direcionar o esforço e onde as iniciativas de segurança estão tendo um impacto. A visão geral de segurança tem exibições dedicadas que permitem que você se aprofunde no estado atual de suas bases de código no nível da organização e da empresa. Confira Sobre a visão geral de segurança.

Além de detectar e evitar vazamentos de segredos, considere embutir a segurança de código em todos os fluxos de trabalho de sua organização para proteger sua cadeia de fornecimento de software. Confira Sobre a segurança da cadeia de suprimento.

Se precisar de ajuda para avaliar suas necessidades ou opções de segurança, entre em contato com a equipe de Vendas do GitHub.

Como alternativa, você pode avaliar o GitHub Advanced Security gratuitamente para examinar suas necessidades. Confira Planejando uma avaliação do GitHub Advanced Security.

Habilitando a Secret Protection

Você pode habilitar rapidamente os recursos de segurança em escala com o GitHub-recommended security configuration, uma coleção de configurações de habilitação de segurança que você pode aplicar a repositórios em uma organização. Você pode personalizar ainda mais os recursos do Advanced Security no nível da organização com global settings. Confira Sobre a habilitação de recursos de segurança em escala.

Security configurations podem ser aplicadas no nível corporativo e da organização. Você também pode definir configurações de segurança adicionais para a organização. Essas configurações, chamadas de global settings, são herdadas por todos os repositórios na organização. Com as global settings, você pode personalizar como os recursos de segurança analisam sua organização. Confira Configurações de segurança globais para sua organização.

Além disso, os administradores do repositório podem habilitar recursos de segurança no nível do repositório.

Habilitando a Secret Protection na secret risk assessment

Note

O relatório secret risk assessment atualmente está em versão prévia pública e está sujeito a alterações. Se você tiver comentários ou perguntas, participe da discussão na GitHub Community – estamos atentos.

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da organização, clique em Segurança do .

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Na barra lateral, em "Security", clique em Assessments.

  4. Clique no menu suspenso Enable Secret Protection na exibição de faixa e selecione uma das opções para habilitar o recurso nos repositórios da organização.