Acerca de los patrones de secret scanning
GitHub mantiene estos conjuntos diferentes de patrones predeterminados de secret scanning:
-
Patrones de asociados. Se usa para detectar posibles secretos en todos los repositorios públicos, así como en paquetes npm públicos. Para información sobre nuestro programa de asociados, consulta "Programa asociado del escaneo de secretos".
-
Patrones de alerta de usuario. Se usa para detectar posibles secretos en repositorios públicos con alertas de examen de secretos para usuarios habilitado.
-
Patrones de protección de inserción. Se usan para detectar posibles secretos en repositorios con secret scanning como protección de inserción habilitada.
Los propietarios de repositorios públicos, así como las organizaciones que usan GitHub Enterprise Cloud conGitHub Advanced Security, pueden habilitar alertas de examen de secretos para usuarios en sus repositorios.
Para más información sobre todos los patrones admitidos, consulta la sección "Secretos admitidos" a continuación.
Si cree que secret scanning debería haber detectado un secreto confirmado en el repositorio y no lo ha hecho, primero debe comprobar que GitHub admite el secreto. Para más información, consulte las secciones siguientes. Para más información sobre solución avanzada de problemas, consulta "Solución de problemas de examen de secretos".
Acerca de las alertas de asociados
Las alertas de asociados son alertas que se envían a los proveedores de secretos cada vez que se notifica una filtración de uno de sus secretos. GitHub examina actualmente los repositorios y los paquetes npm públicos en busca de los secretos emitidos por proveedores de servicios específicos y alerta al proveedor en cuestión cada vez que se detecta un secreto en una confirmación. Para obtener más información sobre alertas de examen de secretos para asociados, consulta "Acerca del examen de secretos".
Si el acceso a un recurso requiere credenciales emparejadas, la exploración de secretos creará una alerta solo cuando se detecten las dos partes del par en el mismo archivo. Esto garantiza que las fugas más críticas no queden ocultas detrás de la información sobre fugas parciales. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par deben usarse juntos para acceder al recurso del proveedor.
Acerca de las alertas usuario
Las alertas de usuario son alertas que se notifican a los usuarios en GitHub. Cuando alertas de examen de secretos para usuarios están habilitados, GitHub examina los repositorios para ver si hay secretos emitidos por una gran variedad de proveedores de servicios y genera alertas de examen de secretos.
Puedes ver estas alertas en la pestaña Seguridad del repositorio. Para más información sobre alertas de examen de secretos para usuarios, consulta "Acerca del examen de secretos".
Si el acceso a un recurso requiere credenciales emparejadas, la exploración de secretos creará una alerta solo cuando se detecten las dos partes del par en el mismo archivo. Esto garantiza que las fugas más críticas no queden ocultas detrás de la información sobre fugas parciales. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par deben usarse juntos para acceder al recurso del proveedor.
Si usas la API REST para el examen de secretos, puedes usar Secret type para informar sobre secretos de emisores específicos. Para obtener más información, vea «Análisis de secretos».
Acerca de las alertas de protección de inserción
Las alertas de protección de inserción son alertas de usuario notificadas por la protección push. Secret scanning como protección de inserción examina actualmente los repositorios en busca de secretos emitidos por algunos proveedores de servicios.
Si el acceso a un recurso requiere credenciales emparejadas, la exploración de secretos creará una alerta solo cuando se detecten las dos partes del par en el mismo archivo. Esto garantiza que las fugas más críticas no queden ocultas detrás de la información sobre fugas parciales. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par deben usarse juntos para acceder al recurso del proveedor.
Es posible que las versiones anteriores de ciertos tokens no sean compatibles con la protección de inserción, ya que estos tokens pueden generar un número mayor de falsos positivos que su versión más reciente. Es posible que la protección de inserción tampoco se aplique a los tokens heredados. En el caso de tokens como claves de Azure Storage, GitHub solo admite tokens creados recientemente, no tokens que coincidan con los patrones heredados. Para más información sobre las limitaciones de la protección de inserción, consulta "Solución de problemas de examen de secretos".
Secretos admitidos
En esta tabla se enumeran los secretos admitidos por secret scanning. Puedes ver los tipos de alerta que se generan para cada token, así como si se realiza una comprobación de validez en el token.
- Proveedor: nombre del proveedor de tokens.
- Partner: token para el que se notifican fugas al asociado de token correspondiente. Solo se aplica a repositorios públicos.
- Usuario: token para el que se notifican pérdidas a los usuarios en GitHub. Se aplica a los repositorios públicos y a los repositorios privados en los que está habilitado GitHub Advanced Security.
- Protección de envío de cambios: token para el que se notifican pérdidas a los usuarios en GitHub. Se aplica a los repositorios con secret scanning y protección de envío de cambios habilitada.
- Comprobación de validez: token para el que se implementa una comprobación de validez. En el caso de los tokens de asociado, el token se envía al asociado correspondiente.
| Proveedor | Token | Asociado | Usuario | Comprobación de validez |
|---|---|---|---|---|
| Adafruit IO | adafruit_io_key | |||
| Adobe | adobe_device_token | |||
| Adobe | adobe_jwt | |||
| Adobe | adobe_service_token | |||
| Adobe | adobe_short_lived_access_token | |||
| Aiven | aiven_auth_token | |||
| Aiven | aiven_service_password | |||
| Alibaba Cloud | alibaba_cloud_access_key_id alibaba_cloud_access_key_secret | |||
| Amazon | amazon_oauth_client_id amazon_oauth_client_secret | |||
| Amazon Web Services (AWS) | aws_access_key_id aws_secret_access_key | |||
| Amazon Web Services (AWS) | aws_session_token aws_temporary_access_key_id aws_secret_access_key | |||
| Asana | asana_personal_access_token | |||
| Atlassian | atlassian_api_token | |||
| Atlassian | atlassian_jwt | |||
| Atlassian | bitbucket_server_personal_access_token | |||
| Azure | azure_active_directory_application_secret | |||
| Azure | azure_batch_key_identifiable | |||
| Azure | azure_cache_for_redis_access_key | |||
| Azure | azure_cosmosdb_key_identifiable | |||
| Azure | azure_devops_personal_access_token | |||
| Azure | azure_function_key | |||
| Azure | azure_ml_web_service_classic_identifiable_key | |||
| Azure | azure_sas_token | |||
| Azure | azure_search_admin_key | |||
| Azure | azure_search_query_key | |||
| Azure | azure_management_certificate | |||
| Azure | azure_sql_connection_string | |||
| Azure | azure_storage_account_key | |||
| Beamer | beamer_api_key | |||
| Canadian Digital Service | cds_canada_notify_api_key | |||
| Checkout.com | checkout_production_secret_key | |||
| Checkout.com | checkout_test_secret_key | |||
| Chief Tools | chief_tools_token | |||
| Clojars | clojars_deploy_token | |||
| CloudBees CodeShip | codeship_credential | |||
| Contentful | contentful_personal_access_token | |||
| Contributed Systems | CONTRIBUTED_SYSTEMS_CREDENTIALS | |||
| crates.io (Rust Foundation) | cratesio_api_token | |||
| Databricks | databricks_access_token | |||
| Datadog | DATADOG_API_KEY | |||
| DevCycle | devcycle_client_api_key | |||
| DevCycle | devcycle_mobile_api_key | |||
| DevCycle | devcycle_server_api_key | |||
| DigitalOcean | digitalocean_oauth_token | |||
| DigitalOcean | digitalocean_personal_access_token | |||
| DigitalOcean | digitalocean_refresh_token | |||
| DigitalOcean | digitalocean_system_token | |||
| Discord | discord_api_token_v2 | |||
| Discord | discord_bot_token | |||
| Doppler | doppler_audit_token | |||
| Doppler | doppler_cli_token | |||
| Doppler | doppler_personal_token | |||
| Doppler | doppler_scim_token | |||
| Doppler | doppler_service_token | |||
| Doppler | doppler_service_account_token | |||
| Dropbox | dropbox_access_token | |||
| Dropbox | dropbox_short_lived_access_token | |||
| Duffel | duffel_live_access_token | |||
| Duffel | duffel_test_access_token | |||
| Dynatrace | dynatrace_access_token | |||
| Dynatrace | dynatrace_internal_token | |||
| EasyPost | easypost_production_api_key | |||
| EasyPost | easypost_test_api_key | |||
| eBay | ebay_production_client_id ebay_production_client_secret | |||
| eBay | ebay_sandbox_client_id ebay_sandbox_client_secret | |||
| Fastly | fastly_api_token | |||
| Figma | figma_pat | |||
| Finicity | finicity_app_key | |||
| Flutterwave | flutterwave_live_api_secret_key | |||
| Flutterwave | flutterwave_test_api_secret_key | |||
| Frame.io | frameio_developer_token | |||
| Frame.io | frameio_jwt | |||
| FullStory | fullstory_api_key | |||
| GitHub | github_app_installation_access_token | |||
| GitHub | github_oauth_access_token | |||
| GitHub | github_personal_access_token | |||
| GitHub | github_refresh_token | |||
| GitHub | github_ssh_private_key | |||
| GitLab | gitlab_access_token | |||
| GoCardless | gocardless_live_access_token | |||
| GoCardless | gocardless_sandbox_access_token | |||
| firebase_cloud_messaging_server_key | ||||
| google_cloud_storage_service_account_access_key_id google_cloud_storage_access_key_secret | ||||
| google_cloud_storage_user_access_key_id google_cloud_storage_access_key_secret | ||||
| google_oauth_access_token | ||||
| google_oauth_client_id google_oauth_client_secret | ||||
| google_oauth_refresh_token | ||||
| Google Cloud | google_api_key | |||
| Google Cloud | google_cloud_private_key_id | |||
| Grafana | grafana_cloud_api_key | |||
| Grafana | grafana_cloud_api_token | |||
| Grafana | grafana_project_api_key | |||
| Grafana | grafana_project_service_account_token | |||
| HashiCorp | hashicorp_vault_batch_token | |||
| HashiCorp | hashicorp_vault_batch_token | |||
| HashiCorp | hashicorp_vault_root_service_token | |||
| HashiCorp | hashicorp_vault_root_service_token | |||
| HashiCorp | hashicorp_vault_service_token | |||
| HashiCorp | hashicorp_vault_service_token | |||
| Hashicorp Terraform | terraform_api_token | |||
| Highnote | highnote_rk_live_key | |||
| Highnote | highnote_rk_test_key | |||
| Highnote | highnote_sk_live_key | |||
| Highnote | highnote_sk_test_key | |||
| Hubspot | hubspot_api_key | |||
| Hubspot | hubspot_api_personal_access_key | |||
| Intercom | intercom_access_token | |||
| Ionic | ionic_personal_access_token | |||
| Ionic | ionic_refresh_token | |||
| JD Cloud | jd_cloud_access_key | |||
| JFrog | jfrog_platform_access_token | |||
| JFrog | jfrog_platform_api_key | |||
| Linear | linear_api_key | |||
| Linear | linear_oauth_access_token | |||
| Lob | lob_live_api_key | |||
| Lob | lob_test_api_key | |||
| LocalStack | localstack_api_key | |||
| LogicMonitor | logicmonitor_bearer_token | |||
| LogicMonitor | logicmonitor_lmv1_access_key | |||
| Mailchimp | mailchimp_api_key | |||
| Mailchimp | MANDRILL_API | |||
| Mailgun | mailgun_api_key | |||
| Mapbox | mapbox_secret_access_token | |||
| MessageBird | messagebird_api_key | |||
| Meta | facebook_access_token | |||
| Midtrans | midtrans_production_server_key | |||
| Midtrans | midtrans_sandbox_server_key | |||
| New Relic | new_relic_insights_query_key | |||
| New Relic | new_relic_license_key | |||
| New Relic | new_relic_personal_api_key | |||
| New Relic | new_relic_rest_api_key | |||
| Notion | notion_integration_token | |||
| Notion | notion_oauth_client_secret | |||
| npm | npm_access_token | |||
| NuGet | nuget_api_key | |||
| Octopus Deploy | octopus_deploy_api_key | |||
| Oculus | oculus_very_tiny_encrypted_session | |||
| Onfido | onfido_live_api_token | |||
| Onfido | onfido_sandbox_api_token | |||
| OpenAI | openai_api_key | |||
| Palantir | palantir_jwt | |||
| Persona | persona_production_api_key | |||
| Persona | persona_sandbox_api_key | |||
| PlanetScale | planetscale_database_password | |||
| PlanetScale | planetscale_oauth_token | |||
| PlanetScale | planetscale_service_token | |||
| Plivo | plivo_auth_id plivo_auth_token | |||
| Postman | postman_api_key | |||
| Postman | postman_collection_key | |||
| Prefect | prefect_server_api_key | |||
| Prefect | prefect_user_api_key | |||
| Prefect | PREFECT_USER_API_TOKEN | |||
| Proctorio | proctorio_consumer_key | |||
| Proctorio | proctorio_linkage_key | |||
| Proctorio | proctorio_registration_key | |||
| Proctorio | proctorio_secret_key | |||
| Pulumi | pulumi_access_token | |||
| PyPI | pypi_api_token | |||
| ReadMe | readmeio_api_access_token | |||
| redirect.pizza | redirect_pizza_api_token | |||
| Rootly | rootly_api_key | |||
| RubyGems | rubygems_api_key | |||
| Samsara | samsara_api_token | |||
| Samsara | samsara_oauth_access_token | |||
| Segment | segment_public_api_token | |||
| SendGrid | sendgrid_api_key | |||
| Sendinblue | sendinblue_api_key | |||
| Sendinblue | sendinblue_smtp_key | |||
| Shippo | shippo_live_api_token | |||
| Shippo | shippo_test_api_token | |||
| Shopify | shopify_access_token | |||
| Shopify | shopify_app_client_credentials | |||
| Shopify | shopify_app_client_secret | |||
| Shopify | shopify_app_shared_secret | |||
| Shopify | shopify_custom_app_access_token | |||
| Shopify | shopify_marketplace_token | |||
| Shopify | shopify_merchant_token | |||
| Shopify | shopify_partner_api_token | |||
| Shopify | shopify_private_app_password | |||
| Slack | slack_api_token | |||
| Slack | slack_incoming_webhook_url | |||
| Slack | slack_workflow_webhook_url | |||
| Square | square_access_token | |||
| Square | square_production_application_secret | |||
| Square | square_sandbox_application_secret | |||
| SSLMate | sslmate_api_key | |||
| SSLMate | sslmate_cluster_secret | |||
| Stripe | stripe_live_restricted_key | |||
| Stripe | stripe_api_key | |||
| Stripe | stripe_legacy_api_key | |||
| Stripe | stripe_test_restricted_key | |||
| Stripe | stripe_test_secret_key | |||
| Stripe | stripe_webhook_signing_secret | |||
| Supabase | supabase_service_key | |||
| Tableau | tableau_personal_access_token | |||
| Telegram | telegram_bot_token | |||
| Telnyx | telnyx_api_v2_key | |||
| Tencent Cloud | tencent_cloud_secret_id | |||
| Tencent WeChat | tencent_wechat_api_app_id | |||
| Twilio | twilio_access_token | |||
| Twilio | twilio_account_sid | |||
| Twilio | twilio_api_key | |||
| Typeform | typeform_personal_access_token | |||
| Uniwise | wiseflow_api_key | |||
| WakaTime | wakatime_pp_secret | |||
| WakaTime | wakatime_oauth_access_token | |||
| WakaTime | wakatime_oauth_refresh_token | |||
| WorkOS | workos_production_api_key | |||
| WorkOS | workos_staging_api_key | |||
| Yandex | yandex_iam_access_secret | |||
| Yandex | yandex_cloud_api_key | |||
| Yandex | yandex_cloud_iam_cookie | |||
| Yandex | yandex_cloud_iam_token | |||
| Yandex | yandex_dictionary_api_key | |||
| Yandex | YANDEX_PASSPORT_OAUTH_TOKEN | |||
| Yandex | yandex_predictor_api_key | |||
| Yandex | yandex_translate_api_key | |||
| Zuplo | zuplo_consumer_api_key |