# Avaliar alertas da verificação de segredo Saiba mais sobre recursos adicionais que podem ajudar você a avaliar alertas e priorizar a correção, por exemplo, verificar a validade de um segredo. ## Sobre a avaliação de alertas Existem alguns recursos adicionais que podem ajudar você a avaliar alertas para melhor priorizá-los e gerenciá-los. É possível: * Verificar a validade de um segredo para averiguar se ele ainda está ativo. Consulte [Verificar a validade de um segredo](#checking-a-secrets-validity). * Executar uma verificação de validade "sob demanda" para obter o status de validação mais atualizado. Consulte [a execução de uma verificação de validade sob demanda](#performing-an-on-demand-validity-check). * Revisar os metadados de um token. **Aplica-se somente a tokens GitHub**. Por exemplo, para verificar a data da última utilização do token. Consulte [Analisando os metadados de token GitHub](#reviewing-github-token-metadata). ## Verificar a validade de um segredo As verificações de validade ajudam a priorizar os alertas, informando quais segredos estão `active` ou `inactive`. Um segredo `active` ainda pode ser explorado, então esses alertas devem ser analisados e corrigidos como prioridade. Por padrão, a GitHub verifica a validade dos tokens GitHub e exibe o status de validação do token na exibição de alerta. Organizações usando GitHub Team, GitHub Enterprise Cloud com uma licença para GitHub Secret Protection, ou GitHub Enterprise Server com uma licença para GitHub Secret Protection também podem habilitar verificações de validade para padrões de parceiro. Para obter mais informações, consulte [Verificando a validade de um segredo](/pt/enterprise-server@3.20/code-security/secret-scanning/managing-alerts-from-secret-scanning/evaluating-alerts#checking-a-secrets-validity). | Validade | Status | Resultado | | --------------------------- | ---------- | -------------------------------------------------------------------------------- | | Segredo ativo | `active` | O GitHub consultou o provedor desse segredo e descobriu que o segredo está ativo | | Segredo possivelmente ativo | `unknown` | O GitHub ainda não dá suporte a verificações de validação desse tipo de token | | Segredo possivelmente ativo | `unknown` | O GitHub não pôde verificar esse segredo | | Segredo inativo | `inactive` | Você deve ter certeza de que não ocorreu nenhum acesso não autorizado | As verificações de validade para padrões de parceiros estão disponíveis para os seguintes tipos de repositório: * Repositórios de propriedade da organização em GitHub Enterprise Server com [GitHub Secret Protection](/pt/enterprise-server@3.20/get-started/learning-about-github/about-github-advanced-security) habilitado Para obter informações sobre como habilitar verificações de validade para padrões de parceiro, consulte [Ativar verificações de validade para o repositório](/pt/enterprise-server@3.20/code-security/secret-scanning/enabling-secret-scanning-features/enabling-validity-checks-for-your-repository) e para obter informações sobre quais padrões de parceiro têm suporte no momento, consulte [Padrões de varredura de segredos com suporte](/pt/enterprise-server@3.20/code-security/secret-scanning/introduction/supported-secret-scanning-patterns). Você pode habilitar verificações de validade para padrões de parceiro usando configurações de segurança, definidas no nível da empresa ou da organização. Confira [Criando uma configuração de segurança personalizada para sua empresa](/pt/enterprise-server@3.20/admin/managing-code-security/securing-your-enterprise/creating-a-custom-security-configuration-for-your-enterprise) e [Criando uma configuração de segurança personalizada](/pt/enterprise-server@3.20/code-security/securing-your-organization/enabling-security-features-in-your-organization/creating-a-custom-security-configuration). Para obter informações sobre quais padrões de parceiro têm suporte no momento, consulte [Padrões de varredura de segredos com suporte](/pt/enterprise-server@3.20/code-security/secret-scanning/introduction/supported-secret-scanning-patterns). Você pode usar a API REST para recuperar uma lista do status de validação mais recente para cada um dos seus tokens. Para obter mais informações, confira [Pontos de extremidade da API REST para verificação de segredos](/pt/enterprise-server@3.20/rest/secret-scanning) na documentação da API REST. Também é possível usar webhooks para receber notificação sobre atividades relacionadas a um alerta secret scanning. Para obter mais informações sobre o evento, consulte `secret_scanning_alert` em [Eventos e cargas de webhook](/pt/enterprise-server@3.20/webhooks/webhook-events-and-payloads?actionType=created#secret_scanning_alert). ## Executar uma verificação de validade sob demanda Após habilitar verificações de validade para encontrar padrões de parceiros no repositório, você pode executar uma verificação de validade "sob demanda" para qualquer segredo compatível clicando em ** Verify secret** na exibição de alertas. O GitHub enviará o padrão ao parceiro relevante e exibirá o status de validação do segredo na exibição de alertas. ![Captura de tela da interface do usuário exibindo um alerta secret scanning. Um botão, rotulado "Verificar segredo", está realçado com um contorno laranja.](/assets/images/help/security/secret-scanning-verify-secret.png) ## Revisando metadados de token do GitHub > \[!NOTE] > Os metadados dos tokens GitHub estão atualmente em versão prévia pública e sujeitos a alterações. Na exibição de um alerta de token ativo do GitHub, você pode examinar determinados metadados sobre o token. Esses metadados podem ajudá-lo a identificar o token e decidir quais etapas de correção devem ser tomadas. Tokens, como personal access token e outras credenciais, são considerados informações pessoais. Para obter mais informações sobre como usar tokens do GitHub, consulte a [Política de Privacidade do GitHub](/pt/site-policy/privacy-policies/github-privacy-statement) e as [Políticas de Uso Aceitável](/pt/site-policy/acceptable-use-policies/github-acceptable-use-policies). ![Captura de tela da interface do usuário de um token do GitHub mostrando os metadados do token.](/assets/images/help/repository/secret-scanning-github-token-metadata.png) Os metadados para tokens de GitHub estão disponíveis para tokens ativos em qualquer repositório com a verificação de segredo habilitada. Se um token tiver sido revogado ou seu status não puder ser validado, os metadados não estarão disponíveis. GitHub revoga automaticamente tokens de GitHub em repositórios públicos, portanto, é improvável que os metadados para tokens de GitHub em repositórios públicos estejam disponíveis. Os seguintes metadados estão disponíveis para tokens ativos do GitHub: | Metadados | Description | | ------------------------ | -------------------------------------------------- | | Nome do segredo | O nome dado ao token GitHub por seu criador | | Proprietário do segredo | O identificador de GitHub do proprietário do token | | Criado em | Data em que o token foi criado | | Expirou em | Data em que o token expirou | | Usado pela última vez em | Data em que o token foi usado pela última vez | | Access | Se o token tem acesso à organização | Somente pessoas com permissões de administrador para o repositório que contém um segredo vazado podem exibir detalhes de alerta de segurança e metadados de token para um alerta. Os proprietários da empresa podem solicitar acesso temporário ao repositório com essa finalidade. Se o acesso for concedido, o GitHub notificará o proprietário do repositório que contém o segredo vazado, relatará a ação nos logs de auditoria do proprietário do repositório e da empresa e habilitará o acesso por duas horas. ## Próximas etapas * ``` [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning/resolving-alerts) ```