Saltar para o conteúdo principal

Como Funciona

O scanner de segredos do ZeroPath identifica credenciais hardcoded, chaves de API, tokens e outros materiais sensíveis em todo o seu código. Ele roda tanto nos escaneamentos completos de repositório quanto nos escaneamentos de PR, capturando segredos antes que cheguem à produção.
  • Detecção automatizada roda junto com cada escaneamento SAST e cada escaneamento de PR. Quando o escaneamento de segredos está habilitado, toda mudança de código é verificada em busca de credenciais commitadas acidentalmente.
  • Validação com IA revisa cada segredo detectado em contexto para reduzir falsos positivos — distinguindo credenciais reais de produção de fixtures de teste, valores de exemplo e strings de placeholder. Todos os motores de detecção agora usam o mesmo pipeline de validação por IA, de modo que as descobertas de todos os motores recebem uma filtragem consistente de falsos positivos. O validador reconhece padrões comuns de alta entropia que não são segredos — como hashes de Subresource Integrity (SRI), fingerprints de conteúdo/assets, imagens e fontes codificadas em base64, chaves públicas e tokens de cache-busting — e os filtra automaticamente, mesmo quando aparecem em diretórios de código-fonte ou de build. Quando um repositório contém um número muito grande de detecções de segredos, o ZeroPath prioriza primeiro as descobertas verified (confirmadas como ativas) para validação, garantindo que as credenciais mais críticas sejam sempre avaliadas por completo.
  • Detecção multi-motor — o ZeroPath usa múltiplos motores de detecção em paralelo para maximizar a cobertura. As descobertas são automaticamente deduplicadas entre os motores, de modo que você vê cada segredo apenas uma vez, independentemente de quantos motores o sinalizaram.
  • Status de verificação — os segredos detectados são classificados como verified (confirmado como ativo), unknown (não foi possível confirmar o status) ou false positive (teste/placeholder). Apenas descobertas verified e unknown são exibidas por padrão.

Tipos de Segredos Detectados

O ZeroPath detecta uma ampla variedade de tipos de segredos de todos os principais provedores de nuvem e serviços. Alguns deles são:
  • Chaves de acesso e chaves secretas da AWS
  • Chaves de conta de serviço do Google Cloud
  • Credenciais e strings de conexão do Azure
  • Tokens da DigitalOcean
  • Chaves de API do Heroku

Modos de Escaneamento

Escaneamento Completo do Repositório

Durante um full scan, o ZeroPath escaneia todos os arquivos do seu repositório em busca de segredos. Os resultados aparecem na aba Secrets do seu dashboard junto com as outras descobertas.

Escaneamento de PR

Durante o escaneamento de PR, apenas os arquivos alterados no pull request são verificados em busca de segredos. Quaisquer segredos recém-introduzidos aparecem como comentários inline no PR e contam para o status do check.

Verificação

Os segredos detectados passam por uma etapa de verificação em que o ZeroPath tenta determinar se a credencial está ativa no momento. Isso produz três status:
  • Verified — o segredo foi confirmado como ativo
  • Unknown — a verificação não conseguiu determinar o status (tratado como potencialmente ativo)
  • False positive — determinado como um valor de teste, exemplo ou placeholder
Quando a validação por IA encontra um erro em uma descoberta específica, o erro é propagado para o pipeline de escaneamento em vez de manter silenciosamente a descoberta com um status indeterminado, garantindo que falhas de validação sejam visíveis e não produzam resultados enganosos.

Orientação de Remediação

Cada segredo detectado inclui:
  • Prévia do segredo com redação — uma versão parcialmente mascarada mostrando o suficiente para identificar a credencial sem expor o valor completo.
  • Guia de rotação — instruções específicas da plataforma para rotacionar a credencial comprometida (ex.: como regenerar uma chave de acesso da AWS, revogar um token do GitHub ou rotacionar uma chave de API do Stripe).
  • Informações do detector — o tipo de segredo detectado e como ele foi identificado.
  • Localização do arquivo — o arquivo e a linha exatos onde o segredo foi encontrado.
Mesmo que um segredo tenha sido commitado apenas brevemente, trate-o como comprometido. O histórico do Git preserva todos os dados commitados.
1

Rotacione a Credencial

Gere um novo segredo/chave no serviço afetado e revogue o antigo.
2

Remova do Código

Mova o segredo para variáveis de ambiente, um gerenciador de segredos (AWS Secrets Manager, HashiCorp Vault etc.) ou o armazenamento de segredos do seu sistema de CI/CD.
3

Audite os Logs de Acesso

Verifique no serviço associado se houve acesso não autorizado durante a janela de exposição.
4

Previna Vazamentos Futuros

Adicione arquivos de configuração contendo segredos ao .gitignore para prevenir commits acidentais.

Configuração

O escaneamento de segredos é controlado pelas configurações do scanner, com herança em níveis de organização/tag/repositório: O escaneamento de segredos roda como parte do pipeline de escaneamento mais amplo e compartilha as mesmas configurações de agendamento, notificação e integração das descobertas SAST.