Verificação de segredo
As credenciais expostas em sistemas de engenharia fornecem oportunidades facilmente exploráveis para invasores. Para se defender contra essa ameaça, o GitHub Advanced Security for Azure DevOps verifica credenciais e outros conteúdos confidenciais em seu código-fonte. A proteção por push também impede que as credenciais sejam vazadas em primeiro lugar.
A verificação secreta de seus repositórios verifica se todos os segredos que já podem existir no código-fonte em todo o histórico e a proteção por push impede que novos segredos sejam expostos no código-fonte.
O GitHub Advanced Security para Azure DevOps funciona com o Azure Repos. Se você quiser usar o GitHub Advanced Security com repositórios do GitHub, consulte o GitHub Advanced Security.
Sobre alertas secretos de verificação
Quando a Segurança Avançada está habilitada, ela verifica repositórios de segredos emitidos por uma grande variedade de provedores de serviços e gera alertas de verificação secreta.
Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. O emparelhamento garante que os vazamentos mais críticos não fiquem ocultos atrás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.
A guia Segurança Avançada no Repos>Advanced Security no Azure DevOps é o hub para exibir seus alertas de segurança. Selecione a guia Segredos para exibir alertas secretos de verificação. Você pode filtrar por estado e tipo de segredo. Você pode navegar até um alerta para obter mais detalhes, incluindo diretrizes de correção. Depois de ativar a Segurança Avançada, uma varredura é iniciada para o repositório selecionado, incluindo todas as confirmações históricas. Com o tempo, os alertas começarão a aparecer à medida que a verificação progride.
Não haverá impacto nos resultados se as ramificações forem renomeadas – pode levar até 24 horas até que o novo nome seja exibido.
Para corrigir os segredos expostos, invalide a credencial exposta e crie uma nova em seu lugar. O segredo recém-criado deve ser armazenado com segurança de uma maneira que não o envie diretamente de volta para o código. Por exemplo, o segredo pode ser armazenado no Azure Key Vault. A maioria dos recursos tem uma credencial primária e secundária. O método para rolar uma credencial primária versus uma credencial secundária é idêntico, a menos que indicado de outra forma.
Gerenciar alertas de verificação de segredo
Visualizando alertas de um repositório
Qualquer pessoa com permissões de colaborador para um repositório pode exibir um resumo de todos os alertas de um repositório na guia Segurança Avançada em Repositório. Selecione na guia Segredos para exibir todos os alertas de verificação de segredo.
Se a Segurança Avançada for habilitada recentemente para seu repositório, você poderá ver um cartão indicando que a Segurança Avançada ainda está verificando seu repositório.
Depois que a verificação for concluída, todos os resultados serão exibidos. Um único alerta é gerado para cada credencial exclusiva detectada em todos os branches e histórico do repositório. Não há filtros de branch, pois eles são acumulados em um alerta.
Os segredos de não provedor podem ser visualizados selecionando "Outro" na lista suspensa de confiança na guia de verificação de segredo.
Detalhes do Alerta
Quando você navega para um alerta, um modo de exibição de alerta detalhado é exibido e revela mais detalhes sobre a localização e fornece diretrizes de correção específicas para resolver o alerta.
| Seção | Explicação |
|---|---|
| Localidade | A seção Locais detalha o(s) caminho(s) em que a varredura secreta descobriu a credencial vazada. Pode haver vários locais ou várias commits no histórico que contêm a credencial vazada. Todos esses locais e commits são exibidos nos Locais com um link direto para o trecho de código e confirmação em que ele foi identificado. |
| Recomendação | A seção de recomendação contém diretrizes de correção ou link para diretrizes de correção de documentação de terceiros para a credencial identificada. |
| Fechar o alerta | Não há nenhum comportamento de autofixo para alertas secretos de verificação. Todos os alertas de verificação secreta devem ser atestados manualmente conforme corrigido na página de detalhes do alerta. Selecione o botão Fechar para verificar se o segredo foi revogado. |
| Severidade | Todos os alertas de verificação de segredo são definidos como críticos. Qualquer credencial exposta é potencialmente uma oportunidade para um ator mal-intencionado. |
| Localizando detalhes | O tipo de credencial e regra usados para localizar a credencial são listados nos detalhes de Localização na barra lateral da página de detalhes do alerta. |
Com segredos de não provedor, a marcação Confiança: outro também aparece pelo selo de gravidade na exibição de detalhes do alerta.
Corrigindo alertas de verificação de segredo
Cada segredo tem etapas de correção exclusivas para guiá-lo sobre como revogar e regenerar um novo segredo em seu lugar. Os detalhes do alerta compartilham etapas ou documentação específicas para cada alerta.
Um alerta de verificação secreta permanece aberto até ser fechado. Para atestar que um alerta de varredura secreta foi corrigido:
- Navegue até o alerta que você deseja fechar e selecione o alerta.
- Selecione a lista suspensa Fechar alerta .
- Se ainda não estiver selecionado, selecione Corrigido.
- Selecione Fechar para enviar e fechar o alerta.
Descartando alertas de verificação secreta
Para ignorar alertas na Segurança Avançada, você precisa das permissões apropriadas. Por padrão, somente os administradores de projeto podem ignorar alertas de Segurança Avançada. Para mais informações sobre permissões de Segurança Avançada, consulte Gerenciar permissões de Segurança Avançada.
Para ignorar um alerta:
- Navegue até o alerta que você deseja fechar e selecione no alerta.
- Selecione a lista suspensa Fechar alerta .
- Se ainda não estiver selecionado, selecione Risco aceito ou Falso positivo como o motivo do fechamento.
- Adicione um comentário opcional à caixa de texto Comentário .
- Selecione Fechar para enviar e fechar o alerta.
- O estado de alerta muda de Abrir para Fechadoe exibe o motivo da demissão.
Qualquer alerta anteriormente descartado pode ser reaberto manualmente.
Protegendo segredos comprometidos
Uma vez que um segredo é comprometido em um repositório, o segredo é comprometido. A Microsoft recomenda as seguintes ações para segredos comprometidos:
- Para obter um token de acesso pessoal do Azure DevOps comprometido, exclua o token comprometido, crie um token e atualize todos os serviços que usam o token antigo.
- Para todos os outros segredos, primeiro verifique se o segredo com o Azure Repos comprometido é válido. Nesse caso, crie um segredo, atualize todos os serviços que usam o segredo antigo e, em seguida, exclua o segredo antigo.
- identifique todas as ações executadas pelo token comprometido nos recursos da sua empresa.
Ao atualizar um segredo, certifique-se de armazenar o novo segredo com segurança e verifique se ele é sempre acessado e nunca armazenado como texto sem formatação. Uma possibilidade pode ser por meio do Azure Keyvault ou outras soluções de gerenciamento de segredo.
Proteção por push secreta
A proteção por push verifica os pushes de entrada em busca de segredos de alta confiança e impede que o push passe. Uma mensagem de erro exibe todos os segredos identificados para removê-los ou continuar enviando os segredos por push, se necessário.
Sobre os alertas de proteção por push
Os alertas de proteção por push são alertas de usuário relatados pela proteção relatada. A verificação secreta como uma proteção por push atualmente verifica repositórios em busca de segredos emitidos por alguns provedores de serviços.
Se o acesso a um recurso exigir credenciais emparelhadas, a verificação secreta criará um alerta somente quando ambas as partes do par forem detectadas no mesmo arquivo. O emparelhamento garante que os vazamentos mais críticos não estejam ocultos por trás de informações sobre vazamentos parciais. A correspondência de pares também ajuda a reduzir falsos positivos, pois ambos os elementos de um par devem ser usados juntos para acessar o recurso do provedor.
A proteção push pode não bloquear versões mais antigas de determinados tokens, pois esses tokens podem gerar um número maior de falsos positivos do que a versão mais recente. A proteção por push também pode não bloquear tokens herdados. Para tokens como Azure Storage Keys, a Segurança Avançada só dá suporte a tokens criados recentemente, não a tokens que correspondem aos padrões herdados.
Proteção por push da linha de comando
A proteção por push é criada nativamente no Git do Azure DevOps. Se suas commits contiverem um segredo identificado, você verá um erro de que seu push foi rejeitado.
Proteção por push da interface da Web
A proteção por push também funciona na interface da Web. Se um segredo for identificado em uma confirmação, você verá o seguinte bloco de erro que o impedirá o pushing de suas alterações:
O que fazer se o push foi bloqueado
A proteção por push bloqueia segredos encontrados em arquivos de texto sem formatação que geralmente são (mas não limitados a) arquivos de texto, como código-fonte ou arquivos de configuração JSON. Esses segredos são armazenados em texto sem formatação. Se um agente mal-intencionado obtiver acesso aos arquivos e eles forem publicados em um repositório público, os segredos poderão ser usados por qualquer pessoa.
É recomendável remover o segredo do arquivo sinalizado e remover o segredo do histórico de confirmação. Se o segredo sinalizado for um espaço reservado ou um segredo de exemplo, é recomendável que você atualize o segredo falso para anexar a cadeia Placeholder de caracteres na frente do segredo falso.
Se o segredo tiver sido adicionado em sua confirmação anterior imediata, altere a confirmação e crie uma nova confirmação:
- Remova o segredo do código.
- Confirme as alterações usando
git commit --amend - Envie suas alterações por push novamente.
Se o segredo tiver sido adicionado mais adiante no histórico, edite suas commits usando uma troca de base interativa:
- Use
git logpara determinar qual confirmação você primeiro cometeu o segredo. - Execute uma troca de base interativa:
git rebase -i [commit ID before credential introduction]~1 - Identifique seu commit para editar alterando
pickparaeditna primeira linha do texto que aparece no editor. - Remova o segredo do código.
- Faça o commit da alteração com
git commit --amend. - Conclua o rebase executando
git rebase --continue.
Enviar por push um segredo bloqueado
Ignorar segredos sinalizados não é recomendado porque ignorar pode colocar a segurança da sua empresa em risco. Se você confirmar que um segredo identificado não é um falso positivo, remova o segredo de todo o histórico do branch antes de tentar enviar suas alterações por push novamente.
Se você acredita que um segredo bloqueado é um falso positivo ou seguro para enviar por push, você pode ignorar a proteção por push. Inclua a cadeia de caracteres skip-secret-scanning:true na sua mensagem de confirmação. Mesmo se você ignorar a proteção por push, um alerta de varredura secreta será gerado na experiência do usuário de alerta assim que o segredo for enviado.
Padrões de verificação do segredo
A Segurança Avançada mantém vários conjuntos de verificação de segredo padrão:
- Padrões de proteção por push – usados para detectar possíveis segredos no momento do push em repositórios com a proteção por push de verificação secreta habilitada.
- Padrões de alerta do usuário: usados para detectar possíveis segredos em repositórios com alertas de verificação de segredo habilitados.
- Padrões de não provedor: usados para detectar ocorrências comuns de segredos estruturados em repositórios com alertas de verificação de segredo habilitados.
Segredos compatíveis
| Seção | Explicação |
|---|---|
| Provedor | O nome do provedor de token. |
| Nome do Token | O tipo de token descoberto pela verificação de segredo da Segurança Avançada. |
| Usuário | Um token para o qual vazamentos são relatados aos usuários após o push. Isso se aplica a todos os repositórios em que a Segurança Avançada está habilitada |
| Proteção por push | Um token para o qual vazamentos são relatados aos usuários no push. Isso se aplica a todos os repositórios em que a proteção de segredo por push está habilitada. |
| Validade | Tokens para os quais a Segurança Avançada tentará executar uma verificação de validade. |
Padrões de provedores de parceiros
A tabela a seguir lista os padrões de provedor de parceiros suportados pela verificação de segredo.
| Provedor | Nome do Token | Proteção por push | Alertas do usuário | Verificação de validade |
|---|---|---|---|---|
| Adafruit IO | AdafruitIOKey |  |
|
|
| Adobe | AdobeDeviceToken | |
||
| Adobe | AdobeServiceToken | |
||
| Adobe | AdobeShortLivedAccessToken | |
||
| Akamai | AkamaiCredentials | |
||
| Alibaba Cloud | AlibabaCloudCredentials | |
|
|
| Amazon | AmazonMwsAuthToken | |
||
| Amazon | AmazonOAuthCredentials | |
|
|
| Amazon | AwsCredentials | |
|
|
| Amazon | AwsTemporaryCredentials | |
|
|
| Asana | AsanaPat | |
|
|
| Atlassian | AtlassianApiToken | |
||
| Atlassian | AtlassianJwt | |
||
| Atlassian | BitbucketCloudOAuthCredentials | |
||
| Atlassian | BitbucketServerPat | |
|
|
| Beamer | BeamerApiKey | |
||
| Brevo | BrevoApiKey | |
|
|
| Brevo | BrevoSmtpKey | |
|
|
| Serviço digital canadense | CdsCanadaNotifyApiKey | |
|
|
| Checkout.com | CheckoutIdentifiableSecretKey | |
||
| Ferramentas Principais | ChiefToolsToken | |
|
|
| Cisco | CiscoLocalAccountCredentials | |
||
| Clojars | ClojarsDeployToken | |
||
| Cloudant | CloudantCredentials | |
||
| Cloudflare | CloudflareApiToken | |
||
| Com conteúdo | ContentfulPersonalAccessToken | |
||
| Crates.io | CratesApiKey | |
||
| DevCycle | DevCycleClientApiKey | |
|
|
| DevCycle | DevCycleManagementApiToken | |
||
| DevCycle | DevCycleMobileApiKey | |
|
|
| DevCycle | DevCycleServerApiKey | |
|
|
| DigitalOcean | DigitalOceanOAuthToken | |
|
|
| DigitalOcean | DigitalOceanPat | |
|
|
| DigitalOcean | DigitalOceanRefreshToken | |
|
|
| DigitalOcean | DigitalOceanSystemToken | |
|
|
| Discord | DiscordApiCredentials | |
||
| Discord | DiscordApiToken | |
|
|
| Doppler | DopplerAuditToken | |
|
|
| Doppler | DopplerCliToken | |
|
|
| Doppler | DopplerPersonalToken | |
|
|
| Doppler | DopplerScimToken | |
|
|
| Doppler | DopplerServiceToken | |
|
|
| Dropbox | DropboxAccessToken | |
||
| Dropbox | DropboxAppCredentials | |
||
| Dropbox | DropboxOAuth2ShortLivedAccessToken | |
|
|
| Duffel | DuffelAccessToken | |
|
|
| Dynatrace | DynatraceInternalToken | |
||
| EasyPost | EasyPostApiKey | |
|
|
| Ebay | EBayProductionClientCredentials | |
||
| Ebay | EBaySandboxClientCredentials | |
||
| Elastic | ElasticCloudApiKey | |
||
| Elastic | ElasticStackApiKey | |
||
| EventBrite | PicaticApiKey | |
||
| FacebookAccessToken | |
|||
| FacebookAppCredentials | |
|||
| OculusAccessToken | |
|||
| Fastly | FastlyApiToken | |
||
| Figma | FigmaPat | |
|
|
| Finicity | FinicityAppKey | |
||
| Flutterwave | FlutterwaveLiveApiSecretKey | |
|
|
| Flutterwave | FlutterwaveTestApiSecretKey | |
||
| Frame.io | FrameIODeveloperToken | |
||
| Frame.io | FrameIOJwt | |
||
| FullStory | FullStoryApiKey | |
|
|
| GitHub | GitHubAppCredentials | |
||
| GitHub | GitHubAppToken | |
|
|
| GitHub | GitHubClassicPat | |
|
|
| GitHub | GitHubOAuthAccessToken | |
|
|
| GitHub | GitHubPat | |
|
|
| GitHub | GitHubRefreshToken | |
|
|
| GitHub | GitHubServerToServerToken | |
|
|
| GitHub | GitHubUserToServerToken | |
|
|
| GitLab | GitLabAccessToken | |
||
| GoCardless | GoCardlessLiveAccessToken | |
||
| GoCardless | GoCardlessSandboxAccessToken | |
||
| FirebaseCloudMessagingServerKey | |
|||
| GoogleApiKey | |
|||
| GoogleCloudPrivateKeyId | |
|
||
| GoogleCloudStorageServiceAccountAccessKey | |
|
||
| GoogleCloudStorageUserAccessKey | |
|
||
| GoogleOAuthAccessToken | |
|||
| GoogleOAuthCredentials | |
|||
| GoogleOAuthRefreshToken | |
|||
| GoogleServiceAccountKey | |
|||
| Grafana | GrafanaApiKey | |
|
|
| Grafana | GrafanaCloudApiToken | |
||
| Grafana | GrafanaProjectApiKey | |
||
| Grafana | GrafanaProjectServiceAccountToken | |
||
| Hashicorp | HashiCorpVaultBatchLegacyToken | |
|
|
| Hashicorp | HashiCorpVaultBatchToken | |
|
|
| Hashicorp | HashiCorpVaultRootServiceToken | |
|
|
| Hashicorp | HashiCorpVaultServiceLegacyToken | |
|
|
| Hashicorp | HashiCorpVaultServiceToken | |
|
|
| Hashicorp | TerraformCloudEnterpriseToken | |
|
|
| HighNote | HighnoteRkKey | |
|
|
| HighNote | HighnoteSkKey | |
|
|
| HubSpot | HubspotApiKey | |
|
|
| HubSpot | HubSpotApiPersonalAccessKey | |
|
|
| HuggingFace | HuggingFaceAccessToken | |
||
| Intercom | IntercomAccessToken | |
|
|
| Ionic | IonicPat | |
|
|
| Ionic | IonicRefreshToken | |
|
|
| JD Cloud | JdCloudAccessKey | |
||
| JFrog | JFrogPlatformAccessToken | |
|
|
| JFrog | JFrogPlatformApiKey | |
|
|
| Linear | LinearApiKey | |
|
|
| Linear | LinearOAuthAccessToken | |
|
|
| Lob | LobLiveApiKey | |
||
| Lob | LobTestApiKey | |
||
| LocalStack | LocalStackApiKey | |
||
| LogicMonitor | LogicMonitorBearerToken | |
|
|
| LogicMonitor | LogicMonitorLmv1AccessKey | |
|
|
| MailChimp | MailChimpApiKey | |
||
| Mailgun | MailgunApiCredentials | |
||
| Mapbox | MapboxSecretAccessToken | |
||
| MessageBird | MessageBirdApiKey | |
||
| Microsoft | AadClientAppIdentifiableCredentials | |
|
|
| Microsoft | AdoPat | |
|
|
| Microsoft | AzureApimDirectManagementSas | |
||
| Microsoft | AzureApimGatewaySas | |
||
| Microsoft | AzureApimIdentifiableDirectManagementKey | |
|
|
| Microsoft | AzureApimIdentifiableGatewayKey | |
|
|
| Microsoft | AzureApimIdentifiableRepositoryKey | |
|
|
| Microsoft | AzureApimIdentifiableSubscriptionKey | |
|
|
| Microsoft | AzureApimLegacyDirectManagementKey | |
||
| Microsoft | AzureApimLegacyGatewayKey | |
|
|
| Microsoft | AzureApimLegacyRepositoryKey | |
|
|
| Microsoft | AzureApimLegacySubscriptionKey | |
||
| Microsoft | AzureApimRepositorySas | |
||
| Microsoft | AzureAppConfigurationCredentials | |
|
|
| Microsoft | AzureApplicationInsightsCredentials | |
||
| Microsoft | AzureBatchIdentifiableKey | |
|
|
| Microsoft | AzureBatchLegacyKey | |
||
| Microsoft | AzureBlockchainCredentials | |
||
| Microsoft | AzureCacheForRedisIdentifiableKey | |
|
|
| Microsoft | AzureCacheForRedisIdentifiablePrivateServiceKey | |
|
|
| Microsoft | AzureCacheForRedisLegacyKey | |
|
|
| Microsoft | AzureCdnSas | |
||
| Microsoft | AzureCognitiveServicesKey | |
||
| Microsoft | AzureCognitiveServicesTranslatorKey | |
||
| Microsoft | AzureCommunicationServicesKey | |
|
|
| Microsoft | AzureContainerRegistryIdentifiableKey | |
|
|
| Microsoft | AzureContainerRegistryLegacyKey | |
|
|
| Microsoft | AzureCosmosDBIdentifiableKey | |
|
|
| Microsoft | AzureCosmosDBIdentifiablePrivateServiceKey | |
|
|
| Microsoft | AzureCosmosDBLegacyKey | |
|
|
| Microsoft | AzureDatabricksPat | |
|
|
| Microsoft | AzureDevOpsOAuthToken | |
||
| Microsoft | AzureEventGridKey | |
|
|
| Microsoft | AzureEventHubIdentifiableKey | |
|
|
| Microsoft | AzureEventHubIdentifiablePrivateServiceSystemKey | |
|
|
| Microsoft | AzureFluidRelayKey | |
||
| Microsoft | AzureFunctionIdentifiableKey | |
|
|
| Microsoft | AzureFunctionLegacyKey | |
|
|
| Microsoft | AzureGenomicsKey | |
||
| Microsoft | AzureHDInsightCredentials | |
||
| Microsoft | AzureIotDeviceIdentifiableKey | |
|
|
| Microsoft | AzureIotDeviceLegacyCredentials | |
|
|
| Microsoft | AzureIotDeviceProvisioningIdentifiableKey | |
|
|
| Microsoft | AzureIotDeviceProvisioningLegacyCredentials | |
|
|
| Microsoft | AzureIotHubIdentifiableKey | |
|
|
| Microsoft | AzureIotHubLegacyCredentials | |
|
|
| Microsoft | AzureLogicAppSas | |
||
| Microsoft | AzureManagementCertificate | |
||
| Microsoft | AzureMapsKey | |
||
| Microsoft | AzureMixedRealityCredentials | |
||
| Microsoft | AzureMLIdentifiablePrivateServicePrincipalCredentials | |
|
|
| Microsoft | AzureMLWebServiceClassicIdentifiableKey | |
|
|
| Microsoft | AzureMLWebServiceKey | |
||
| Microsoft | AzureOpenAIKey | |
||
| Microsoft | AzureRelayIdentifiableKey | |
|
|
| Microsoft | AzureSearchIdentifiableAdminKey | |
|
|
| Microsoft | AzureSearchIdentifiablePrivateServiceAdminKey | |
|
|
| Microsoft | AzureSearchIdentifiableQueryKey | |
|
|
| Microsoft | AzureSearchLegacyKey | |
||
| Microsoft | AzureServiceBusIdentifiableKey | |
|
|
| Microsoft | AzureServiceBusIdentifiablePrivateServiceSystemKey | |
|
|
| Microsoft | AzureServiceBusLegacyCredentials | |
|
|
| Microsoft | AzureServiceDeploymentCredentials | |
||
| Microsoft | AzureSignalRKey | |
|
|
| Microsoft | AzureStorageAccountIdentifiableKey | |
|
|
| Microsoft | AzureStorageAccountLegacyCredentials | |
|
|
| Microsoft | AzureStorageIdentifiablePrivateServiceKey | |
|
|
| Microsoft | AzureStorageLooseSas | |
||
| Microsoft | AzureStorageSas | |
||
| Microsoft | AzureWebAppBotCredentials | |
||
| Microsoft | AzureWebAppBotKey | |
||
| Microsoft | AzureWebPubSubCredentials | |
|
|
| Microsoft | BingApiKey | |
||
| Microsoft | BingMapsKey | |
||
| Microsoft | BingSearchKey | |
||
| Microsoft | OfficeIncomingWebhook | |
|
|
| Microsoft | Sas | |
||
| Microsoft | SqlIdentifiableCredentials | |
|
|
| Microsoft | VisualStudioAppCenterKey | |
||
| Midtrans | MidtransServerKey | |
|
|
| New Relic | NewRelicInsightsQueryKey | |
|
|
| New Relic | NewRelicLicenseKey | |
||
| New Relic | NewRelicPersonalApiKey | |
|
|
| New Relic | NewRelicRestApiKey | |
|
|
| Notion | NotionIntegrationToken | |
||
| Notion | NotionOAuthClientCredentials | |
||
| npm | NpmAuthorIdentifiableToken | |
|
|
| npm | NpmCredentials | |
|
|
| npm | NpmLegacyAuthorToken | |
||
| NuGet | NuGetApiKey | |
|
|
| NuGet | NuGetCredentials | |
||
| Implantação do Octopus | OctopusDeployApiKey | |
||
| Onfido | OnfidoApiToken | |
|
|
| OpenAI | OpenAIApiKeyV2 | |
|
|
| Palantir | PalantirJwt | |
||
| PayPal | PayPalBraintreeAccessToken | |
||
| Persona | PersonaProductionApiKey | |
|
|
| Persona | PersonaSandboxApiKey | |
||
| PineCone | PineconeApiKey | |
||
| PlanetScale | PlanetScaleDatabasePassword | |
|
|
| PlanetScale | PlanetScaleOAuthToken | |
|
|
| PlanetScale | PlanetScaleServiceToken | |
|
|
| Plivo | PlivoCredentials | |
||
| postman | PostmanApiKey | |
|
|
| Prefect | PrefectServerApiToken | |
|
|
| Prefect | PrefectUserApiToken | |
|
|
| Proctorio | ProctorioConsumerKey | |
||
| Proctorio | ProctorioLinkageKey | |
||
| Proctorio | ProctorioRegistrationKey | |
||
| Proctorio | ProctorioSecretKeyV2 | |
|
|
| Pulumi | PulumiAccessToken | |
||
| PyPi | PyPiApiToken | |
||
| ReadMe | ReadMeApiKey | |
|
|
| redirect.pizza | RedirectPizzaApiToken | |
|
|
| Rubygems | RubyGemsApiKey | |
||
| SAMPLE | SecretScanningSampleToken | |||
| Samsara | SamsaraApiAccessToken | |
|
|
| Samsara | SamsaraOAuth2AccessToken | |
|
|
| Segment.io | SegmentPublicApiToken | |
||
| SendGrid | SendGridApiKey | |
|
|
| Shippo | ShippoLiveApiToken | |
|
|
| Shippo | ShippoTestApiToken | |
||
| Shopify | ShopifyAccessToken | |
|
|
| Shopify | ShopifyAppClientCredentials | |
||
| Shopify | ShopifyAppClientSecret | |
||
| Shopify | ShopifyAppOAuthAccessToken | |
||
| Shopify | ShopifyCustomAppAccessToken | |
||
| Shopify | ShopifyMarketplaceToken | |
||
| Shopify | ShopifyMerchantToken | |
||
| Shopify | ShopifyPartnerApiToken | |
||
| Shopify | ShopifyPrivateAppPassword | |
||
| Shopify | ShopifySharedSecret | |
|
|
| Slack | SlackApiKey | |
|
|
| Slack | SlackAppLevelToken | |
|
|
| Slack | SlackWebhook | |
||
| Slack | SlackWorkflowKey | |
||
| Splunk | SplunkHecApiKey | |
||
| Splunk | SplunkJwtToken | |
||
| Splunk | SplunkSessionKey | |
||
| Quadrado | SquareApplicationSecret | |
||
| Quadrado | SquareCredentials | |
||
| Quadrado | SquarePat | |
||
| SSLMate | SSLMateApiKey | |
||
| SSLMAte | SSLMateClusterSecret | |
||
| Stripe | StripeLiveApiKey | |
|
|
| Stripe | StripeLiveRestrictedApiKey | |
||
| Stripe | StripeTestApiKey | |
||
| Stripe | StripeTestRestrictedApiKey | |
||
| Stripe | StripeWebhookSigningSecret | |
||
| Supabase | SupabaseServiceKey | |
||
| Tableau | TableauPersonalAccessToken | |
||
| Telegram | TelegramBotToken | |
||
| Telnyx | TelnyxApiV2Key | |
||
| Tencent Cloud | TencentCloudCredentials | |
|
|
| Tencent Cloud | TencentCloudSecretId | |
|
|
| Twilio | TwilioApiKeyCredentials | |
||
| Twilio | TwilioCredentials | |
||
| Typeform | TypeformPat | |
|
|
| Uniwise | WISEFlowApiKey | |
|
|
| WakaTime | WakaTimeAppCredentials | |
|
|
| WakaTime | WakaTimeOAuthAccessToken | |
|
|
| WakaTime | WakaTimeOAuthRefreshToken | |
|
|
| WorkOS | WorkOSProductionApiKey | |
|
|
| WorkOS | WorkOSStagingApiKey | |
||
| Yandex | YandexCloudApiKey | |
||
| Yandex | YandexCloudIamAccessSecret | |
||
| Yandex | YandexCloudIamCookie | |
||
| Yandex | YandexCloudIamToken | |
||
| Yandex | YandexDictionaryApiKey | |
||
| Yandex | YandexPassportOAuthToken | |
|
|
| Yandex | YandexPredictorApiKey | |
||
| Yandex | YandexTranslateApiKey | |
||
| Zuplo | ZuploConsumerApiKey | |
|
Padrões que não são de provedor
A tabela a seguir lista os segredos gerados por não provedor detectados pela verificação de segredo. Segredos de não provedor podem ser visualizados selecionando "Outro" na lista suspensa de confiança na guia de verificação de segredo. Para obter mais informações, consulte Gerenciar alertas de verificação de segredo.
Dica
A detecção de padrões de não provedor está atualmente em versão beta e sujeita a alterações.
| Provedor | Segredo compatível | Nome do Token |
|---|---|---|
| Genérico | Chave do computador do ASP.NET | AspNetMachineKey |
| Genérico | Chave privada codificada por DER | DerPrivateKey |
| Genérico | Token Dynatrace | DynatraceToken |
| Genérico | Credenciais do GPG | GpgCredentials |
| Genérico | Cabeçalhos da solicitação HTTP | HttpAuthorizationRequestHeader |
| Genérico | Token Web JavaScript | GenericJwt |
| Genérico | Credenciais do LinkedIn | LinkedInCredentials |
| Genérico | Cadeia de conexão do MongoDB | MongoDbCredentials |
| Genérico | Cadeia de conexão MySQL/MariaDB | MySqlCredentials |
| Genérico | Chave privada codificada em PEM | PemPrivateKey |
| Genérico | Chave Privada PGP | PgpPrivateKey |
| Genérico | Chave privada PKCS12 formatada | Pkcs12PrivateKey |
| Genérico | Cadeia de conexão PostgreSQL | PostgreSqlCredentials |
| Genérico | Chave privada Putty | PuttyPrivateKey |
| Genérico | Credenciais do RabbitMQ | RabbitMqCredentials |
| Genérico | Chave Privada RSA | RsaPrivateKey |
| Genérico | Cadeia de conexão do SQL Server | SqlLegacyCredentials |
| Genérico | Chave privada SSH | OpenSshPrivateKey |
| Genérico | Chave privada SSH | GitHubSshPrivateKey |
| Genérico | Credenciais codificadas por URL | UrlCredentials |
Solução de problemas com a varredura de segredos
A varredura secreta do repositório não é concluída
Se a verificação secreta no nível do repositório ao ativar a Segurança Avançada pela primeira vez parecer estar travada depois de algum tempo, tente desativar e reativar a Segurança Avançada para redefinir a operação de varredura.
Proteção push não bloqueando um segredo
Certifique-se de que o segredo que você está tentando bloquear é suportado para proteção por push usando as tabelas acima, Segredos suportados.
Nenhum repositório de alertas criado para senha
Certifique-se de que o segredo que você está tentando bloquear é suportado como um alerta de usuário usando as tabelas acima, Segredos suportados. Se você estiver tentando enviar por push um segredo com nome genérico, como password: password123 ou secret: password123, a varredura secreta não oferece suporte a esse cenário e nenhum alerta é criado nem a proteção por push se aplica.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de