O Que É Secret Scanning?
Secret scanning é a detecção automatizada de credenciais commitadas acidentalmente no código-fonte, no histórico do git ou em logs de CI, como API keys, access tokens e chaves privadas. Os scanners correspondem a padrões conhecidos de credenciais e podem bloquear commits ou alertar times quando um segredo vaza. Muitos provedores também revogam automaticamente os segredos detectados.
Por que isso importa
Uma credencial vazada em um repositório público pode ser explorada em minutos por bots automatizados. O secret scanning pega vazamentos cedo, idealmente antes que sejam mesclados, e incentiva a rotação. Combinar o scanning com credenciais de curta duração e escopo limitado, como OIDC tokens, reduz o dano quando um segredo de fato escapa.
Conceitos relacionados
- Pre-commit e push protection bloqueiam vazamentos proativamente
- OIDC federation evita armazenar segredos de longa duração por completo
- Segredos vazados precisam ser rotacionados, não apenas apagados do histórico
Guias relacionados
What Is OIDC Federation in CI/CD?OIDC federation lets a CI job exchange a short-lived identity token for cloud credentials, removing the need…
What Is the Principle of Least Privilege?Least privilege means granting every user, job, or token only the minimum permissions needed to do its task a…
What Is a Software Supply Chain Attack?A supply chain attack compromises software by tampering with a dependency, build system, or distribution chan…