Configurar notificações para alertas de verificação de segredo
Além de exibir um alerta na guia Segurança do repositório, o GitHub também pode enviar notificações por email para alertas. As notificações são diferentes para verificações incrementais e verificações históricas.
Verificações incrementais
Quando um novo segredo é detectado, o GitHub notifica todos os usuários com acesso aos alertas de segurança do repositório de acordo com as preferências de notificação. Esses usuários incluem:
- Administradores do repositório
- Gerentes de segurança
- Usuários com funções personalizadas com acesso de leitura/gravação
- Proprietários da organização e proprietários da empresa, se forem administradores de repositórios onde os segredos foram vazados
Note
Os autores de confirmação que acidentalmente fizeram commit de segredos serão notificados, independentemente das preferências de notificação deles.
Você receberá uma notificação por email se:
- Estiver inspecionando o repositório.
- Tiver habilitado as notificações para "Todas as atividades" ou para os "Alertas de segurança" personalizados no repositório.
- Tiver selecionado, em suas configurações de notificação, em "Assinaturas" e, em seguida, em "Inspeção", a opção para receber notificações por email.
-
Em GitHub, acesse a página principal do repositório.
-
Para começar a inspecionar o repositório, selecione Inspecionar.
-
No menu suspenso, clique em Todas as atividades. Como alternativa, para assinar somente alertas de segurança, clique em Personalizado e, em seguida, em Alertas de segurança.
-
Acesse as configurações de notificação da sua conta pessoal. Elas estão disponíveis em https://github.com/settings/notifications.
-
Na página de configurações de notificação, em "Assinaturas" e, em seguida, em "Inspeção", selecione o menu suspenso Notificar-me.
-
Selecione "Email" como uma opção de notificação e clique em Salvar.
Para obter mais informações sobre como configurar as preferências de configurações, confira "Gerenciando as configurações de segurança e análise do repositório" e "Como definir as configurações de inspeção de um repositório individual."
Verificações históricas
Para verificações históricas, GitHub notifica os seguintes usuários:
- Proprietários da organização, proprietários da empresa e gerentes de segurança sempre que uma verificação histórica for concluída, mesmo que nenhum segredo seja encontrado.
- Administradores de repositório, gerentes de segurança e usuários com funções personalizadas com acesso de leitura/gravação sempre que uma verificação histórica detecta um segredo e de acordo com suas preferências de notificação.
Não notificamos os autores de commit.
Para obter mais informações sobre como configurar as preferências de configurações, confira "Gerenciando as configurações de segurança e análise do repositório" e "Como definir as configurações de inspeção de um repositório individual."
Auditoria de respostas a alertas de verificação de segredo
Você pode auditar as ações executadas em resposta aos alertas do secret scanning usando as ferramentas do GitHub. Para obter mais informações, confira "Alertas de segurança de auditoria".