Sobre verificações de validade
Verificações de validade, um recurso do secret scanning, verificam se um segredo detectado ainda está ativo e pode ser explorado. Isso ajuda você a priorizar a correção focando primeiro nos segredos confirmados como ativos.
Você pode habilitar verificações automáticas de validade para segredos detectados. Uma vez habilitado, GitHub verificará periodicamente a validade de uma credencial detectada enviando esse segredo para o emissor e testando-o em relação às APIs fornecidas por esse serviço. As verificações de validade estão disponíveis para segredos de muitos provedores de serviços e o suporte continua sendo expandido à medida que a empresa faz parcerias com serviços adicionais.
GitHub prioriza a privacidade ao verificar a validade da credencial. Normalmente, fazemos solicitações GET, escolhemos os pontos de extremidade menos intrusivos e selecionamos pontos de extremidade que não retornam nenhuma informação pessoal.
GitHub exibe o status de validação do segredo no modo de exibição de alerta, para que você possa ver se o segredo é active, inactiveou se o status de validação é unknown. Opcionalmente, você pode executar uma verificação de validade "sob demanda" para o segredo no modo de exibição de alerta.
Sobre verificações de metadados estendidos
Observação
As verificações de metadados estendidos nas configurações de segurança estão atualmente em versão prévia pública e sujeitas a alterações.
As verificações de metadados estendidos fornecem informações contextuais adicionais sobre segredos detectados. Eles geralmente são chamados de analisadores em outras ferramentas.
Você pode habilitar verificações de metadados estendidas se as verificações de validade estiverem habilitadas. Em seguida, você obterá informações que o ajudarão a:
-
**Obtenha informações mais profundas sobre segredos detectados**: saiba quem é o proprietário de um segredo. -
**Priorizar a correção**: entenda o escopo e o impacto de cada segredo exposto. -
**Melhorar a resposta a incidentes**: identifique rapidamente equipes responsáveis ou indivíduos quando um segredo é vazado. -
**Aprimorar a conformidade**: verifique se os segredos estão alinhados com as políticas de governança e segurança da sua organização. -
**Reduzir falsos positivos**: use contexto adicional para determinar se uma detecção requer ação.
Os metadados específicos disponíveis dependem do que o provedor de serviços compartilha com GitHub. Nem todos os tipos de segredo dão suporte a verificações de metadados estendidas. Para saber mais, confira Avaliar alertas da verificação de segredo.
Começando com verificação de validade e metadados estendidos
Observação
A partir de 18 de fevereiro de 2026, GitHub habilitará automaticamente verificações de metadados estendidas para repositórios que têm verificações de validade habilitadas. Para repositórios gerenciados por configurações de segurança, GitHub atualizará essas configurações e aplicará o recurso a repositórios anexados. Essa é uma transição única para ajudar as organizações a se beneficiarem de metadados aprimorados sem configuração manual.
Você pode habilitar a validade e as verificações de metadados estendidos no repositório, na organização ou no nível da empresa para ajudar a priorizar quais credenciais expostas representam os riscos de segurança mais imediatos.
Para grandes organizações, recomendamos o uso de configurações de segurança para habilitar esses recursos no nível da organização ou da empresa. As configurações de segurança permitem gerenciar centralmente as configurações secret scanning e aplicá-las consistentemente em muitos repositórios.
Para começar:
- Para repositórios, consulte Ativar verificações de validade para o repositório
- Para uma organização, consulte Criando uma configuração de segurança personalizada
- Para uma empresa, consulte Criando uma configuração de segurança personalizada para sua empresa