> ## Documentation Index
> Fetch the complete documentation index at: https://zeropath.com/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# Escaneamento de Segredos

> Detecte segredos hardcoded, chaves de API e credenciais em todo o seu código

<h2 id="how-it-works">
  Como Funciona
</h2>

O scanner de segredos do ZeroPath identifica credenciais hardcoded, chaves de API, tokens e outros materiais sensíveis em todo o seu código. Ele roda tanto nos escaneamentos completos de repositório quanto nos escaneamentos de PR, capturando segredos antes que cheguem à produção.

* **Detecção automatizada** roda junto com cada escaneamento SAST e cada escaneamento de PR. Quando o escaneamento de segredos está habilitado, toda mudança de código é verificada em busca de credenciais commitadas acidentalmente.
* **Validação com IA** revisa cada segredo detectado em contexto para reduzir falsos positivos — distinguindo credenciais reais de produção de fixtures de teste, valores de exemplo e strings de placeholder. Todos os motores de detecção agora usam o mesmo pipeline de validação por IA, de modo que as descobertas de todos os motores recebem uma filtragem consistente de falsos positivos. O validador reconhece padrões comuns de alta entropia que não são segredos — como hashes de Subresource Integrity (SRI), fingerprints de conteúdo/assets, imagens e fontes codificadas em base64, chaves públicas e tokens de cache-busting — e os filtra automaticamente, mesmo quando aparecem em diretórios de código-fonte ou de build. Quando um repositório contém um número muito grande de detecções de segredos, o ZeroPath prioriza primeiro as descobertas verified (confirmadas como ativas) para validação, garantindo que as credenciais mais críticas sejam sempre avaliadas por completo.
* **Detecção multi-motor** — o ZeroPath usa múltiplos motores de detecção em paralelo para maximizar a cobertura. As descobertas são automaticamente deduplicadas entre os motores, de modo que você vê cada segredo apenas uma vez, independentemente de quantos motores o sinalizaram.
* **Status de verificação** — os segredos detectados são classificados como **verified** (confirmado como ativo), **unknown** (não foi possível confirmar o status) ou **false positive** (teste/placeholder). Apenas descobertas verified e unknown são exibidas por padrão.

<h2 id="detected-secret-types">
  Tipos de Segredos Detectados
</h2>

O ZeroPath detecta uma ampla variedade de tipos de segredos de todos os principais provedores de nuvem e serviços. Alguns deles são:

<Tabs>
  <Tab title="Nuvem e Infraestrutura">
    * Chaves de acesso e chaves secretas da AWS
    * Chaves de conta de serviço do Google Cloud
    * Credenciais e strings de conexão do Azure
    * Tokens da DigitalOcean
    * Chaves de API do Heroku
  </Tab>

  <Tab title="APIs e SaaS">
    * Chaves de API do Stripe (publicáveis e secretas)
    * SIDs de conta e tokens de autenticação do Twilio
    * Chaves de API do SendGrid
    * Tokens do Slack (bot, usuário, webhook)
    * Personal access tokens e tokens OAuth do GitHub
    * Tokens do GitLab
    * App passwords do Bitbucket
  </Tab>

  <Tab title="Bancos de Dados e Autenticação">
    * Strings de conexão de banco de dados (PostgreSQL, MySQL, MongoDB, Redis)
    * Credenciais do Firebase e do Supabase
    * Segredos de assinatura de JWT
    * Client secrets de OAuth
    * Chaves privadas SSH e TLS/SSL
    * Chaves privadas SAML
  </Tab>

  <Tab title="Padrões Genéricos">
    * Strings de alta entropia em arquivos de configuração
    * Credenciais codificadas em base64
    * Atribuições de senha no código
  </Tab>
</Tabs>

<h2 id="scan-modes">
  Modos de Escaneamento
</h2>

<h3 id="full-repository-scan">
  Escaneamento Completo do Repositório
</h3>

Durante um full scan, o ZeroPath escaneia todos os arquivos do seu repositório em busca de segredos. Os resultados aparecem na aba Secrets do seu dashboard junto com as outras descobertas.

<h3 id="pr-scan">
  Escaneamento de PR
</h3>

Durante o escaneamento de PR, apenas os arquivos alterados no pull request são verificados em busca de segredos. Quaisquer segredos recém-introduzidos aparecem como comentários inline no PR e contam para o status do check.

<h3 id="verification">
  Verificação
</h3>

Os segredos detectados passam por uma etapa de verificação em que o ZeroPath tenta determinar se a credencial está ativa no momento. Isso produz três status:

* **Verified** — o segredo foi confirmado como ativo
* **Unknown** — a verificação não conseguiu determinar o status (tratado como potencialmente ativo)
* **False positive** — determinado como um valor de teste, exemplo ou placeholder

Quando a validação por IA encontra um erro em uma descoberta específica, o erro é propagado para o pipeline
de escaneamento em vez de manter silenciosamente a descoberta com um status indeterminado, garantindo que
falhas de validação sejam visíveis e não produzam resultados enganosos.

<h2 id="remediation-guidance">
  Orientação de Remediação
</h2>

Cada segredo detectado inclui:

* **Prévia do segredo com redação** — uma versão parcialmente mascarada mostrando o suficiente para identificar a credencial sem expor o valor completo.
* **Guia de rotação** — instruções específicas da plataforma para rotacionar a credencial comprometida (ex.: como regenerar uma chave de acesso da AWS, revogar um token do GitHub ou rotacionar uma chave de API do Stripe).
* **Informações do detector** — o tipo de segredo detectado e como ele foi identificado.
* **Localização do arquivo** — o arquivo e a linha exatos onde o segredo foi encontrado.

<h3 id="recommended-response">
  Resposta Recomendada
</h3>

<Warning>
  Mesmo que um segredo tenha sido commitado apenas brevemente, trate-o como comprometido. O histórico do Git preserva todos
  os dados commitados.
</Warning>

<Steps>
  <Step title="Rotacione a Credencial">
    Gere um novo segredo/chave no serviço afetado e revogue o antigo.
  </Step>

  <Step title="Remova do Código">
    Mova o segredo para variáveis de ambiente, um gerenciador de segredos (AWS Secrets Manager, HashiCorp
    Vault etc.) ou o armazenamento de segredos do seu sistema de CI/CD.
  </Step>

  <Step title="Audite os Logs de Acesso">
    Verifique no serviço associado se houve acesso não autorizado durante a janela de exposição.
  </Step>

  <Step title="Previna Vazamentos Futuros">
    Adicione arquivos de configuração contendo segredos ao `.gitignore` para prevenir commits acidentais.
  </Step>
</Steps>

<h2 id="configuration">
  Configuração
</h2>

O escaneamento de segredos é controlado pelas configurações do scanner, com herança em níveis de organização/tag/repositório:

| Configuração                             | Padrão | O Que Controla                                                                        |
| ---------------------------------------- | ------ | ------------------------------------------------------------------------------------- |
| **Secrets scanning enabled (full scan)** | On     | Executar o escaneamento de segredos durante os escaneamentos completos de repositório |
| **Secrets scanning enabled (PR scan)**   | On     | Executar o escaneamento de segredos durante os escaneamentos de pull request          |

O escaneamento de segredos roda como parte do pipeline de escaneamento mais amplo e compartilha as mesmas configurações de agendamento, notificação e integração das descobertas SAST.
