Skip to main content

Acerca del examen de secretos

GitHub escanea repositorios para encontrar tipos conocidos de secretos para prevenir el uso fraudulento de aquellos que se confirmaron por accidente.

Las Secret scanning alerts for partners se ejecutan automáticamente en repositorios públicos en todos los productos de GitHub.com. Hay Secret scanning alerts for users disponibles para repositorios públicos y también para los que pertenecen a organizaciones que usan GitHub Enterprise Cloud y tienen una licencia de GitHub Advanced Security. Para obtener más información, consulta "Acerca de las secret scanning alerts for users" y "Acerca de GitHub Advanced Security".

Acerca de secret scanning

Si tu proyecto se comunica con un servicio externo, puedes utilizar un token o llave privada para autenticación. Los tokens y llaves privadas son ejemplos de secretos que puede emitir un proveedor de servicios. Si registras un secreto en un repositorio, cualquiera que tenga acceso de lectura al mismo puede utilizarlo para acceder al servicio externo con tus privilegios. Te recomendamos que almacenes los secretos en una ubicación dedicada y segura fuera del repositorio de tu proyecto.

Secret scanning examinará todo el historial de Git en todas las ramas presentes en el repositorio de GitHub para buscar secretos.

Secret scanning está disponible en GitHub.com de dos formas:

  1. Secret scanning alerts for partners. Se ejecuta automáticamente en todos los repositorios públicos. Cualquier secuencia que coincida con los patrones que hayan proporcionado los socios del escaneo de secretos se reportarán directamente al socio relevante. Para más información, consulta la sección "Acerca de secret scanning alerts for partners" a continuación.

  2. Secret scanning alerts for users. Los usuarios siguientes pueden habilitar y configurar exámenes adicionales:

    • Propietarios de los repositorios de GitHub.com, en los repositorios públicos que posean.
    • Organizaciones que poseen repositorios públicos , en cualquiera de estos repositorios.
    • Organizaciones que usan GitHub Enterprise Cloud con una licencia de GitHub Advanced Security, en repositorios propiedad de la organización, incluidos repositorios privados e internos.

    Nota: La característica de secret scanning alerts for users está disponible como versión beta para los usuarios en planes de GitHub Free, GitHub Pro o GitHub Team y está sujeta a cambios.

    Las cadenas que coinciden con los patrones proporcionados por los asociados de exámenes de secretos, por otros proveedores de servicios o definidos por usted o su organización, se notifican como alertas en la pestaña "Seguridad" de los repositorios. Si una cadena en un repositorio público coincide con un patrón de asociado, también se notificará a dicho asociado. Para más información, consulta la sección "Acerca de secret scanning alerts for users" a continuación.

Los proveedores de servicio pueden asociarse con GitHub para proporcionar sus formatos de secreto para el escaneo de los mismos. Para obtener información sobre nuestro programa de partners, vea "Programa de partners de Secret scanning".

Acerca de secret scanning alerts for partners

Cuando haces público a un repositorio o cuando subes cambios a un repositorio público, GitHub siempre escanea el código en busca de los secretos que coinciden con los patrones socios. Si secret scanning detecta un posible secreto, lo notificamos al proveedor del servicio que emitió el secreto. El proveedor de servicios valida la secuencia y luego decide si debería revocar el secreto, emitir uno nuevo o contactarte directamente. Su acción dependerá de los riesgos asociados contigo o con ellos. Para más información, consulta "Secretos admitidos para alertas de asociados".

No puedes cambiar la configuración de secret scanning de los patrones de asociados en los repositorios públicos.

Acerca de secret scanning alerts for users

Secret scanning alerts for users están disponibles para todos los repositorios públicos. Al habilitar secret scanning para un repositorio, GitHub examina el código de los patrones que coinciden con los secretos usados por muchos proveedores de servicios. Cuando se filtra un secreto admitido, GitHub genera una alerta de secret scanning. Para más información, consulta los patrones de "Secretos admitidos para alertas de usuario".

Si es administrador del repositorio, puede habilitar secret scanning alerts for users para cualquier repositorio público. Los propietarios de las organizaciones también pueden habilitar secret scanning alerts for users para todos los repositorios o para aquellos nuevos dentro de una organización. Para más información, vea "Administración de la configuración de seguridad y análisis del repositorio" y "Administración de la configuración de seguridad y análisis para la organización".

GitHub almacena los secretos detectados mediante cifrado simétrico, tanto en tránsito como en reposo.

Acceso a secret scanning alerts

Cuando el secret scanning se habilita en un repositorio o se insertan confirmaciones en un repositorio con secret scanning habilitado, GitHub examina el contenido de esas confirmaciones en busca de secretos que coincidan con los patrones definidos por proveedores de servicios.

Si el secret scanning detecta un secreto, GitHub generará una alerta.

  • GitHub envía una alerta por correo electrónico a los administradores del repositorio y a los propietarios de la organización. Recibirás una alerta si estás observando el repositorio y si tienes habilitadas las notificaciones para las alertas de seguridad o para toda la actividad del repositorio.
  • Si el colaborador que ha confirmado el secreto no ignora el repositorio, GitHub también enviará una alerta por correo electrónico al colaborador. Los correos electrónicos contienen un vínculo a la alerta de secret scanning relacionada. El autor de la confirmación puede entonces ver la alerta en el repositorio y resolverla.
  • GitHub muestra una alerta en el la pestaña "Seguridad" del repositorio.

Para más información sobre cómo ver y resolver secret scanning alerts, consulta "Administración de alertas de secret scanning".

Los administradores de repositorio y propietarios de las organizaciones pueden otorgar a los usuarios y equipos acceso a secret scanning alerts. Para más información, vea "Administración de la configuración de seguridad y análisis para el repositorio".

También puedes usar la API REST para supervisar los resultados de secret scanning de todos los repositorios. Para más información sobre los puntos de conexión de API, vea "Secret scanning".

Información adicional