Skip to content
Latchkey

O Que É Secret Scanning?

Secret scanning é a detecção automatizada de credenciais commitadas acidentalmente no código-fonte, no histórico do git ou em logs de CI, como API keys, access tokens e chaves privadas. Os scanners correspondem a padrões conhecidos de credenciais e podem bloquear commits ou alertar times quando um segredo vaza. Muitos provedores também revogam automaticamente os segredos detectados.

Por que isso importa

Uma credencial vazada em um repositório público pode ser explorada em minutos por bots automatizados. O secret scanning pega vazamentos cedo, idealmente antes que sejam mesclados, e incentiva a rotação. Combinar o scanning com credenciais de curta duração e escopo limitado, como OIDC tokens, reduz o dano quando um segredo de fato escapa.

Conceitos relacionados

  • Pre-commit e push protection bloqueiam vazamentos proativamente
  • OIDC federation evita armazenar segredos de longa duração por completo
  • Segredos vazados precisam ser rotacionados, não apenas apagados do histórico

Guias relacionados