Observação
O monitoramento público de secret scanning está atualmente em prévia pública e está sujeito a alterações. Se você tiver comentários, participe da discussão.
Sobre o monitoramento público
GitHub monitora os segredos vazados em GitHub tempo real. Atributos de monitoramento públicos expõem publicamente segredos de volta à sua empresa, com base no local em que suas pessoas se comprometem.
Secret scanning detecta segredos em repositórios que sua empresa possui. O monitoramento público estende essa detecção a segredos encontrados em repositórios públicos arbitrários em .com GitHub, independentemente de sua empresa ser ou não proprietária do repositório em que ela foi vazada.
Isso dá aos administradores de segurança da empresa visibilidade da exposição de credenciais que de outra forma não estariam cientes, ajudando a identificar possíveis riscos e segredos vazados que poderiam ser explorados por maus atores.
Como funciona o monitoramento público
O monitoramento público analisa repositórios públicos, incluindo conteúdo que não é código, como comentários em issues e pull requests em GitHub, em busca de segredos associados à sua empresa. Quando um segredo é detectado, um alerta é exibido na visão geral de segurança no nível da empresa.
Métodos de atribuição
O monitoramento público usa dois métodos para associar segredos detectados à sua empresa:
- Associação empresarial: Segredos vazados por usuários que são membros da sua empresa
- Correspondência de domínio verificada: Segredos vazados por usuários cujo endereço de email corresponde a um domínio verificado da sua empresa, mesmo que eles não sejam membros corporativos diretos
Ambos os métodos de atribuição estão ativos quando o monitoramento público está habilitado.
Requirements
Para usar o monitoramento público, sua empresa deve:
- Ter GitHub Advanced Security ou GitHub Secret Protection habilitado