Configuración del examen de secretos para los repositorios

En este artículo

Puedes configurar la forma en que GitHub escanea tus repositorios en busca de secretos filtrados y genera alertas.

Quién puede usar esta característica

People with admin permissions to a public repository can enable secret scanning for the repository.

Alertas de examen de secretos para asociados se ejecuta de forma automática en repositorios públicos y paquetes npm públicos para notificar a los proveedores de servicio sobre secretos filtrados en GitHub.com.

Alertas de examen de secretos para usuarios están disponibles de forma gratuita en todos los repositorios públicos. Las organizaciones que usan GitHub Enterprise Cloud con una licencia de GitHub Advanced Security también pueden habilitar alertas de examen de secretos para usuarios en sus repositorios privados e internos. Para más información, consulta "Acerca del examen de secretos" y "Acerca de GitHub Advanced Security".

Enabling alertas de examen de secretos para usuarios

Puedes habilitar alertas de examen de secretos para usuarios para cualquier repositorio público gratuito de tu propiedad. Una vez habilitado, El secret scanning escanea cualquier secreto en el total de tu historial de Git en todas las ramas presentes de tu repositorio de GitHub. Secret scanning también busca las descripciones de problemas y los comentarios de los secretos.

También puedes habilitar secret scanning para varios repositorios de una organización al mismo tiempo. Para obtener más información, vea «Protección de la organización».

  1. En GitHub.com, navega a la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

  4. Desplázate hasta la parte inferior de la página y haz clic en Habilitar para secret scanning. Si ves un botón Deshabilitar, significa que secret scanning ya está habilitado para el repositorio.

    Captura de pantalla de la sección "Secret scanning" de la página "Seguridad y análisis del código", con el botón "Habilitar" resaltado en naranja oscuro.

  5. Opcionalmente, si quieres habilitar la protección de los envíos de cambios, haz clic en Habilitar a la derecha de "Protección de envíos de cambios". Al habilitar la protección de inserción para la organización o el repositorio, secret scanning también comprueba si hay secretos de alta confianza (los identificados con una tasa de falsos positivos baja). Secret scanning enumera los secretos que detecta para que el creador pueda revisarlos y quitarlos, o si es necesario, permitir que se inserten. Para obtener más información, consulta "Protección contra el envío de cambios para repositorios y organizaciones". Captura de pantalla de la sección "Secret scanning". Junto a un elemento con sangría marcado como "Protección de envío de cambios", el botón "Habilitar" aparece resaltado en un contorno naranja oscuro.

Habilitación de alertas de examen de secretos para usuarios para todos los repositorios públicos

Se pueden habilitar alertas de examen de secretos para usuarios para todos los repositorios públicos mediante la configuración de la cuenta personal.

  1. En la esquina superior derecha de cualquier página, haga clic en la foto del perfil y, luego, en Settings (Configuración).

    Screenshot of a user's account menu on GitHub. The menu item "Settings" is outlined in dark orange.

  2. En la sección "Seguridad" de la barra lateral, haz clic en Análisis y seguridad del código.

  3. En "Seguridad y análisis del código", a la derecha de l"Secret scanning", haz clic en Deshabilitar todo o Habilitar todo.

    Captura de pantalla de las opciones de configuración de "Secret scanning" en la página de configuración de la cuenta personal. Las opciones "Habilitar todo" y "Deshabilitar todo" están resaltadas con un contorno naranja.

  4. Opcionalmente, para habilitar automáticamente secret scanning para los nuevos repositorios públicos que se crean, debajo de "Secret scanning", activa la casilla "Habilitar automáticamente para repositorios públicos nuevos".

    Captura de pantalla de las opciones de configuración de "Secret scanning" en la página de configuración de la cuenta personal. La opción "Habilitar automáticamente para repositorios públicos nuevos" está resaltada con un contorno naranja.

Excluir directorios de alertas de examen de secretos para usuarios

Puedes configurar un archivo secret_scanning.yml para excluir directorios de secret scanning, incluidos los casos en los que usas protección de inserción. Por ejemplo, puedes excluir directorios que contengan pruebas o contenido generado aleatoriamente.

  1. En GitHub.com, navega a la página principal del repositorio.

  2. Sobre la lista de archivos, selecciona el menú desplegable Agregar archivo y, a continuación, haz clic en Crear nuevo archivo.

    Como alternativa, puedes hacer clic en en la vista de árbol de archivos a la izquierda.

    Captura de pantalla de la página principal de un repositorio. Encima de la lista de archivos, un botón con la etiqueta "Agregar archivo", aparece resaltado en naranja oscuro. En la vista de árbol de archivos del repositorio, un botón con el icono de signo más, también aparece resaltado en naranja oscuro.

  3. En el campo nombre de archivo, escribe .github/secret_scanning.yml.

  4. En Editar nuevo archivo, escribe paths-ignore: seguido por las rutas de acceso que quieras excluir de secret scanning.

    paths-ignore:
  - "foo/bar/*.js"

    Puede usar caracteres especiales, como * para filtrar las rutas. Para obtener más información sobre los patrones de filtro, consulta "Sintaxis de flujo de trabajo para Acciones de GitHub".

    Notas:

    • Si hay más de 1000 entradas en paths-ignore, secret scanning solo excluirá los primeros 1000 directorios de los análisis.
    • Si secret_scanning.yml es mayor que 1 MB, secret scanning ignorará todo el archivo.

También puedes ignorar alertas individuales de secret scanning. Para obtener más información, vea «Administración de alertas del examen de secretos».