Verificar se há chaves secretas

As verificações de vulnerabilidade do Artifact Analysis podem identificar secrets, como chaves de conta de serviço e chaves de API, armazenados em imagens verificadas. É possível conferir informações sobre esses secrets no relatório de ocorrências da verificação de vulnerabilidade e tomar medidas para evitar a exposição de informações sensíveis.

Visão geral

Quando uma verificação de vulnerabilidade detecta um secret, o Artifact Analysis cria uma ocorrência do tipo secret com detalhes sobre ele. O Artifact Analysis pode detectar os seguintes secrets:

Secrets

  • Chaves de administrador da Anthropic
  • Chaves de API da Anthropic
  • Tokens de acesso do Azure
  • Tokens de ID do Azure
  • Tokens de acesso pessoal do Docker Hub
  • Tokens de atualização de apps do GitHub
  • Tokens de servidor para servidor de apps do GitHub
  • Tokens de usuário para servidor de apps do GitHub
  • Tokens de acesso pessoal clássicos do GitHub
  • Tokens de acesso pessoal refinados do GitHub
  • Tokens OAuth do GitHub
  • Google Cloud Pares OAuth2 (ID do cliente e secret)
  • Google Cloud Tokens de acesso OAuth2
  • Google Cloud chaves da conta de serviço
  • Google Cloud Chaves de API
  • Chaves de API do Huggingface
  • Chaves de API da OpenAI
  • Chaves de API da Perplexity
  • Chaves restritas da Stripe
  • Chaves secretas da Stripe
  • Secrets do webhook da Stripe

Para informações detalhadas sobre os diferentes tipos de secrets em relatórios de ocorrências, consulte SecretKind na documentação da API Artifact Analysis.

O Artifact Analysis só pode detectar secrets armazenados como arquivos de texto. As seguintes extensões de arquivo são compatíveis:

  • .cer
  • .cfg
  • .crt
  • .der
  • .env
  • .html
  • .key
  • .ipynb
  • .json
  • .log
  • .md
  • .pem
  • .py
  • .pypirc
  • .textproto
  • .toml
  • .txt
  • .xml
  • .yaml

Antes de começar

  1. Faça login na sua Google Cloud conta do. Se você não conhece o Google Cloud, crie uma conta para avaliar o desempenho dos nossos produtos em cenários reais. Clientes novos também recebem US $300 em créditos para executar, testar e implantar cargas de trabalho.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Artifact Registry and Container Scanning APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  6. Instale a Google Cloud CLI.

  7. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na CLI gcloud com sua identidade federada.

  8. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  10. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  11. Verify that billing is enabled for your Google Cloud project.

  12. Enable the Artifact Registry and Container Scanning APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  13. Instale a Google Cloud CLI.

  14. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na CLI gcloud com sua identidade federada.

  15. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

A ativação dessa API também ativa a verificação de pacotes de linguagem no Artifact Registry. Consulte os tipos de pacotes compatíveis.

Funções exigidas

Para receber as permissões necessárias para verificar imagens em busca de secrets durante as verificações de vulnerabilidade, peça ao administrador para conceder a você as seguintes funções do IAM no projeto:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.

Conferir secrets

Para conferir secrets após uma verificação de vulnerabilidade, faça o seguinte:

  1. Envie uma imagem Docker para o Artifact Registry.

  2. Aguarde a conclusão da verificação de vulnerabilidade.

  3. Execute o comando a seguir para listar as ocorrências de secrets da imagem verificada:

    $ curl -G -H "Content-Type: application/json"   -H "Authorization: Bearer $(gcloud auth print-access-token)" --data-urlencode "filter=(kind=\"SECRET\" AND resourceUrl=\"RESOURCE_URL\")" https://containeranalysis.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/occurrences

    Em que:

    • PROJECT_ID é o ID do projeto do seu Google Cloud console.
    • LOCATION é o local regional ou multirregional localização do repositório.
    • RESOURCE_URL é o URL da imagem verificada, no formato https://LOCATION-docker.pkg.dev/PROJECT_ID/REPOSITORY/IMAGE_ID.

    O exemplo de resposta a seguir mostra um possível resultado. Nesse caso, uma Google Cloud chave de API chamada my_api_key.yaml foi identificada no documents diretório de uma imagem. O atributo secret mostra informações sobre o secret descoberto.

    {
  "occurrences": [
    {
      "name": "projects/my-project/locations/us-east1/occurrences/45619d23-66b1-4f5b-9b12-9060d7f97ff3",
      "resourceUri": "https://us-east1-docker.pkg.dev/my-project/my-images/test-image-0106@sha256:73cf5b9a788dc391c40e9cf1599144d03875b5d2dc935988ebfef8260bd2678e",
      "noteName": "projects/my-project/locations/us-east1/notes/secret_kind_gcp_api_key",
      "kind": "SECRET",
      "createTime": "2026-01-06T21:16:14.905851Z",
      "updateTime": "2026-01-06T21:16:14.905851Z",
      "secret": {
        "kind": "SECRET_KIND_GCP_API_KEY",
        "locations": [
          {
            "fileLocation": {
              "filePath": "documents/my_api_key.yaml",
              "layerDetails": {
                "index": 2,
                "diffId": "7b76df10d6d90391830392eac96b0ef2d2d43822c6ff4754aa6daea0fe14a8c5",
                "command": "COPY . . # buildkit",
                "chainId": "sha256:75df0c59982f47cc38e730e1a122b67fceaaf7797d91e1fa17ffffc5cfe7ff59"
              }
            }
          }
        ]
      }
    }
  ]
}

Limitações

  • Enquanto a verificação de secrets estiver na prévia pública, as ocorrências do tipo secret só poderão ser visualizadas na API Container Analysis.
  • Os relatórios de verificação de secrets do Artifact Analysis mostram, no máximo, uma ocorrência por secret por imagem. No máximo, 1.000 locais de arquivo por ocorrência são retornados.
  • Falsos positivos podem ocorrer com secrets identificados. Sempre verifique cada secret identificado antes de realizar qualquer ação nas imagens.