Monitoring alerts from secret scanning

Learn how and when GitHub will notify you about a secret scanning alert.

Quem pode usar esse recurso?

Proprietários de repositórios, proprietários de organizações, gerentes de segurança e usuários com a função de administrador

Neste artigo

Configuring notifications for alertas de verificação de segredo

In addition to displaying an alert in the Security tab of the repository, GitHub can also send email notifications for alerts. These notifications are different for incremental scans and historical scans.

Incremental scans

Quando um novo segredo é detectado, o GitHub notifica todos os usuários com acesso aos alertas de segurança do repositório de acordo com as preferências de notificação. Esses usuários incluem:

  • Administradores do repositório
  • Gerentes de segurança
  • Usuários com funções personalizadas com acesso de leitura/gravação
  • Proprietários da organização e proprietários da empresa, se forem administradores de repositórios onde os segredos foram vazados

Observação

Os autores de confirmação que acidentalmente fizeram commit de segredos serão notificados, independentemente das preferências de notificação deles.

Você receberá uma notificação por email se:

  • Estiver inspecionando o repositório.
  • Você habilitou notificações para "Todas as Atividades" ou para "Alertas de segurança" personalizados no repositório.
  • Tiver selecionado, em suas configurações de notificação, em "Assinaturas" e em "Inspeção", a opção para receber notificações por email.

Além disso, você receberá uma notificação se alguém atribuir a você um alerta code scanning ou secret scanning. Consulte Atribuindo alertas.

  1. Em GitHub, acesse a página principal do repositório.

  2. To start watching the repository, select Watch.

    Screenshot of the repository's main page. A dropdown menu, titled "Watch", is highlighted with an orange outline.

  3. In the dropdown menu, click All Activity. Alternatively, to only subscribe to security alerts, click Custom, then click Security alerts.

  4. Navigate to the notification settings for your personal account. These are available at https://github.com/settings/notifications.

  5. On your notification settings page, under "Subscriptions", then under "Watching", select the Notify me dropdown.

  6. Select "Email" as a notification option, then click Save.

    Screenshot of the notification settings for a user account. Under "Subscriptions" and "Watching" a checkbox, titled "Email", is outlined in orange.

Para saber mais sobre como configurar as preferências de configurações, confira Gerenciando as configurações de segurança e análise do repositório e Como definir as configurações de inspeção de um repositório individual.

Historical scans

For historical scans, GitHub notifies the following users:

  • Organization owners, enterprise owners, and security managers—whenever a historical scan is complete, even if no secrets are found.
  • Repository administrators, security managers, and users with custom roles with read/write access—whenever a historical scan detects a secret, and according to their notification preferences.

We do not notify commit authors.

Para saber mais sobre como configurar as preferências de configurações, confira Gerenciando as configurações de segurança e análise do repositório e Como definir as configurações de inspeção de um repositório individual.

Auditing responses to secret scanning alerts

Você pode auditar as ações executadas em resposta aos alertas do secret scanning usando as ferramentas do GitHub. Para saber mais, confira Alertas de segurança de auditoria.