About types of alerts
Existem três tipos de alertas de verificação de segredo:
- Alertas de usuário: relatado aos usuários na guia Segurança do repositório, quando um segredo com suporte é detectado no repositório.
- Alertas de proteção por push: relatado aos usuários na guia Segurança do repositório, quando um contribuidor contorna a proteção por push.
- Alertas para parceiro: relatado diretamente aos provedores de segredos que fazem parte do programa de parceiros de secret scanning. Esses alertas não são relatados na guia Segurança do repositório.
About user alerts
When GitHub detects a supported secret in a repository that has secret scanning enabled, a user alert is generated and displayed in the Security tab of the repository.
User alerts can be of the following types:
- Default alerts, which relate to supported patterns and specified custom patterns.
- Generic alerts, which can have a higher ratio of false positives or secrets used in tests.
GitHub displays generic alerts in a different list to default alerts, making triaging a better experience for users. For more information, see Exibindo e filtrando alertas da varredura de segredos.
Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. Isso garante que os vazamentos mais críticos não estejam ocultos por trás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.
About push protection alerts
Push protection scans pushes for supported secrets. If push protection detects a supported secret, it will block the push. When a contributor bypasses push protection to push a secret to the repository, a push protection alert is generated and displayed in the Security tab of the repository. To see all push protection alerts for a repository, you must filter by bypassed: true on the alerts page. For more information, see Exibindo e filtrando alertas da varredura de segredos.
Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. Isso garante que os vazamentos mais críticos não estejam ocultos por trás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.
Observação
You can also enable push protection for your personal account, called "push protection for users", which prevents you from accidentally pushing supported secrets to any public repository. Alerts are not created if you choose to bypass your user-based push protection only. Alerts are only created if the repository itself has push protection enabled. For more information, see Proteção por push para usuários.
Versões mais antigas de determinados tokens podem não ter suporte da proteção de push, pois esses tokens podem gerar um número maior de falsos positivos do que sua versão mais recente. A proteção de push também pode não se aplicar a tokens herdados. Para tokens como Chaves do Armazenamento do Azure, o GitHub só dá suporte a tokens criados recentemente, não a tokens que correspondem aos padrões herdados. For more information about push protection limitations, see Solução de problemas com a varredura de segredos.
About partner alerts
When GitHub detects a leaked secret in a public repository or npm package, an alert is sent directly to the secret provider, if they are part of GitHub's secret scanning partner program. For more information about alertas de verificação de segredo para parceiros, see Programa de verificação de segredo de parceiros and Padrões de varredura de segredos com suporte.
Partner alerts are not sent to repository administrators, so you do not need to take any action for this type of alert.