Como Funciona
O scanner de segredos do ZeroPath identifica credenciais hardcoded, chaves de API, tokens e outros materiais sensíveis em todo o seu código. Ele roda tanto nos escaneamentos completos de repositório quanto nos escaneamentos de PR, capturando segredos antes que cheguem à produção.- Detecção automatizada roda junto com cada escaneamento SAST e cada escaneamento de PR. Quando o escaneamento de segredos está habilitado, toda mudança de código é verificada em busca de credenciais commitadas acidentalmente.
- Validação com IA revisa cada segredo detectado em contexto para reduzir falsos positivos — distinguindo credenciais reais de produção de fixtures de teste, valores de exemplo e strings de placeholder. Todos os motores de detecção agora usam o mesmo pipeline de validação por IA, de modo que as descobertas de todos os motores recebem uma filtragem consistente de falsos positivos. O validador reconhece padrões comuns de alta entropia que não são segredos — como hashes de Subresource Integrity (SRI), fingerprints de conteúdo/assets, imagens e fontes codificadas em base64, chaves públicas e tokens de cache-busting — e os filtra automaticamente, mesmo quando aparecem em diretórios de código-fonte ou de build. Quando um repositório contém um número muito grande de detecções de segredos, o ZeroPath prioriza primeiro as descobertas verified (confirmadas como ativas) para validação, garantindo que as credenciais mais críticas sejam sempre avaliadas por completo.
- Detecção multi-motor — o ZeroPath usa múltiplos motores de detecção em paralelo para maximizar a cobertura. As descobertas são automaticamente deduplicadas entre os motores, de modo que você vê cada segredo apenas uma vez, independentemente de quantos motores o sinalizaram.
- Status de verificação — os segredos detectados são classificados como verified (confirmado como ativo), unknown (não foi possível confirmar o status) ou false positive (teste/placeholder). Apenas descobertas verified e unknown são exibidas por padrão.
Tipos de Segredos Detectados
O ZeroPath detecta uma ampla variedade de tipos de segredos de todos os principais provedores de nuvem e serviços. Alguns deles são:- Nuvem e Infraestrutura
- APIs e SaaS
- Bancos de Dados e Autenticação
- Padrões Genéricos
- Chaves de acesso e chaves secretas da AWS
- Chaves de conta de serviço do Google Cloud
- Credenciais e strings de conexão do Azure
- Tokens da DigitalOcean
- Chaves de API do Heroku
Modos de Escaneamento
Escaneamento Completo do Repositório
Durante um full scan, o ZeroPath escaneia todos os arquivos do seu repositório em busca de segredos. Os resultados aparecem na aba Secrets do seu dashboard junto com as outras descobertas.Escaneamento de PR
Durante o escaneamento de PR, apenas os arquivos alterados no pull request são verificados em busca de segredos. Quaisquer segredos recém-introduzidos aparecem como comentários inline no PR e contam para o status do check.Verificação
Os segredos detectados passam por uma etapa de verificação em que o ZeroPath tenta determinar se a credencial está ativa no momento. Isso produz três status:- Verified — o segredo foi confirmado como ativo
- Unknown — a verificação não conseguiu determinar o status (tratado como potencialmente ativo)
- False positive — determinado como um valor de teste, exemplo ou placeholder
Orientação de Remediação
Cada segredo detectado inclui:- Prévia do segredo com redação — uma versão parcialmente mascarada mostrando o suficiente para identificar a credencial sem expor o valor completo.
- Guia de rotação — instruções específicas da plataforma para rotacionar a credencial comprometida (ex.: como regenerar uma chave de acesso da AWS, revogar um token do GitHub ou rotacionar uma chave de API do Stripe).
- Informações do detector — o tipo de segredo detectado e como ele foi identificado.
- Localização do arquivo — o arquivo e a linha exatos onde o segredo foi encontrado.
Resposta Recomendada
1
Rotacione a Credencial
Gere um novo segredo/chave no serviço afetado e revogue o antigo.
2
Remova do Código
Mova o segredo para variáveis de ambiente, um gerenciador de segredos (AWS Secrets Manager, HashiCorp
Vault etc.) ou o armazenamento de segredos do seu sistema de CI/CD.
3
Audite os Logs de Acesso
Verifique no serviço associado se houve acesso não autorizado durante a janela de exposição.
4
Previna Vazamentos Futuros
Adicione arquivos de configuração contendo segredos ao
.gitignore para prevenir commits acidentais.Configuração
O escaneamento de segredos é controlado pelas configurações do scanner, com herança em níveis de organização/tag/repositório:
O escaneamento de segredos roda como parte do pipeline de escaneamento mais amplo e compartilha as mesmas configurações de agendamento, notificação e integração das descobertas SAST.