Skip to main content

Acerca del examen de secretos para asociados

Cuando secret scanning detecta los detalles de autenticación de un proveedor de servicios en un repositorio público en GitHub, se envía una alerta directamente al proveedor. Esto permite a los proveedores de servicios que son asociados de GitHub tomar medidas rápidamente para proteger sus sistemas.

¿Quién puede utilizar esta característica?

Alertas de examen de secretos para asociados se ejecuta de manera predeterminada en los repositorios siguientes:

  • Repositorios públicos y paquetes npm públicos en GitHub.

Acerca de alertas de examen de secretos para asociados

GitHub examina actualmente los repositorios y los paquetes npm públicos en busca de los secretos emitidos por proveedores de servicios específicos que entraron a formar parte de nuestro programa de asociación, y alerta al proveedor en cuestión cada vez que se detecta un secreto en una confirmación. El proveedor de servicios valida la secuencia y luego decide si debería revocar el secreto, emitir uno nuevo o contactarte directamente. Su acción dependerá de los riesgos asociados contigo o con ellos. Para información sobre nuestro programa de asociados, consulta "Programa asociado del escaneo de secretos".

Note

No puedes cambiar la configuración de secret scanning de los patrones de asociados en los repositorios públicos.

La razón por la que las alertas del asociado se envían directamente a los proveedores de secretos cada vez que se detecta una pérdida en uno de sus secretos, es que esto permite al proveedor tomar medidas inmediatas para protegerle y proteger sus recursos. El proceso de notificación de las alertas normales es diferente. Las alertas normales se muestran en la pestaña Seguridad del repositorio en GitHub para que la pueda resolver.

Si el acceso a un recurso requiere credenciales emparejadas, la exploración de secretos creará una alerta solo cuando se detecten las dos partes del par en el mismo archivo. Esto garantiza que las fugas más críticas no queden ocultas detrás de la información sobre fugas parciales. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par deben usarse juntos para acceder al recurso del proveedor.

Cuáles son los secretos admitidos

Para obtener más información sobre los secretos y los proveedores de servicios admitidos para la protección de inserción, consulte "Patrones de examen de secretos admitidos".

Información adicional