Referencia de secretos

Busca información técnica sobre secretos en GitHub Actions.

En este artículo

Nombrar tus secretos

Sugerencia

Para ayudarte a garantizar que GitHub redacta tus secretos en los registros correctamente, evita utilizar datos estructurados como los valores de los secretos.

Las siguientes reglas aplican a los nombres secretos:

  • Solo puede contener caracteres alfanuméricos ([a-z], [A-Z], [0-9]) o caracteres de subrayado (_). No se permiten espacios.
  • No debe comenzar con el prefijo GITHUB_.
  • No puede iniciar con un número.
  • No distinguen entre mayúsculas y minúsculas cuando se hace referencia a ellos. GitHub almacena nombres secretos en mayúsculas independientemente de cómo se escriban.
  • Debe ser único para el repositorio, la organización o la empresa donde se crean.

Si existe un secreto con el mismo nombre en varios niveles, tiene preferencia el del nivel más bajo. Por ejemplo, si un secreto a nivel de organización tiene el mismo nombre que un secreto a nivel de repositorio, entonces el secreto a nivel de repositorio tomará precedencia. De forma similar, si una organización, repositorio y ambiente tienen u secreto con el mismo nombre, el que esté a nivel de ambiente tomará precedencia.

Límites para los secretos

Puedes almacenar hasta 1,000 secretos de organización, 100 secretos de repositorio y 100 secretos de ambiente.

Un flujo de trabajo que se haya creado en un repositorio puede acceder a la siguiente cantidad de secretos:

  • Todos los 100 secretos de repositorio.
  • Si se asigna acceso a más de 100 secretos de la organización para este repositorio, el flujo de trabajo solo puede utilizar los primeros 100 secretos de organización (que se almacenan por orden alfabético por nombre de secreto).
  • Todos los 100 secretos de ambiente.

Los secretos tienen un tamaño máximo de 48 KB. Para almacenar secretos más grandes, consulta Uso de secretos en Acciones de GitHub.

Cuándo GitHub Actions lee secretos

Los secretos de organización y de repositorio se leen cuando una ejecución de flujo de trabajo está en cola y los secretos de ambiente se leen cuando un job que referencia el ambiente comienza.

Secretos censurados automáticamente

GitHub censura automáticamente la siguiente información confidencial de los registros de flujo de trabajo.

Nota:

Si desea que otros tipos de información confidencial se redactan automáticamente, póngase en contacto con nosotros en nuestras discusiones de la comunidad.

  • Claves de Azure de 32 bytes y 64 bytes
  • Contraseñas de aplicación cliente de Azure AD
  • Claves de Azure Cache
  • Claves de Azure Container Registry
  • Claves de host de Azure Functions
  • Claves de Azure Search
  • Cadenas de conexión de base de datos
  • Encabezados de token de portador HTTP
  • JWT
  • Tokens de creación de NPM
  • Claves de API de NuGet
  • Tokens de instalación de GitHub v1
  • Tokens de instalación de GitHub v2 (ghp, gho, ghu, ghs, ghr)
  • PAT de GitHub v2

Seguridad

Para conocer los procedimientos recomendados de seguridad mediante secretos, consulta Referencia de uso seguro.