Secret scanning è una feature di GitHub che permette di identificare token o secret che sono state, volontariamente o no, inserite all'interno del repository (o di tutta l'organizzazione in cui Secret Scanning è abilitato). Lo scan è basato su regular expression che possono, tuttavia, generare anche dei falsi positivi ed è per questo che abbiamo la possibilità di ignorare determinati risultati dalla pagina di security.

In alternativa, esiste anche l'opzione di ignorare interi file o cartelle dallo scan, scrivendo un file .github/secret_scanning.yml che contiene tutti i percorsi all'interno della quale la scansione non eseguirà alcun check di sicurezza.

paths-ignore:
- "README.md"
- "*/README.md"
- "docs/**"

Nell'esempio infatti abbiamo elencato più scenari: nel primo, escludiamo lo scan nel file README posizionato nella root del repository, quindi in una posizione specifica, nel secondo tutti i file che si chiamano README all'interno di una qualsiasi sotto-cartella del repository, mentre nel terzo e ultimo caso abbiamo escluso tutti i file e cartelle inclusi nella folder "docs". Questo è importante perché può esserci l'esigenza di dover elencare nella documentazione alcuni esempi specifici che includono dei token che altrimenti verrebbero evidenziati da Secret Scanning.