Nota:
Sobre la detección genérica de secretos para secret scanning
La detección genérica de secretos es una ampliación con tecnología de IA de secret scanning que identifica secretos no estructurados (contraseñas) en el código fuente y genera una alerta.
Los usuarios de GitHub Advanced Security ya pueden recibir alertas de examen de secretos por patrones asociados o personalizados detectados en su código fuente, pero los secretos no estructurados no son fáciles de descubrir. La detección de secretos genéricos con tecnología de IA usa grandes modelos de lenguaje (LLM) para identificar este tipo de secretos.
Cuando se detecta una contraseña, se muestra una alerta en la lista de alertas secret scanning (en la pestaña Seguridad del repositorio, organización o empresa), para que los responsables de mantenimiento y seguridad puedan revisar la alerta y, en caso necesario, eliminar la credencial o aplicar una corrección.
Para usar la detección genérica de secretos, el propietario de la empresa establece una directiva a nivel de empresa. A continuación, la característica debe habilitarse para los repositorios. Para obtener más información, vea «Aplicación de directivas de seguridad y análisis de código de la empresa».
Procesamiento de entradas
La entrada se limita al texto (normalmente código) que un usuario ingresa en un repositorio. El sistema proporciona este texto al LLM junto con un meta prompt que pide al LLM que encuentre contraseñas dentro del ámbito de la entrada. El usuario no interactúa directamente con el LLM.
El sistema busca contraseñas mediante el LLM. El sistema no recopila datos adicionales, aparte de los que ya recoge la función existente secret scanning.
Salida y visualización
El LLM busca cadenas que se parezcan a contraseñas y verifica que las cadenas identificadas incluidas en la respuesta existan realmente en la entrada.
Estas cadenas detectadas aparecen como alertas en la página de alertas secret scanning, pero se muestran en una lista adicional separada de las alertas de examen de secretos normales. La intención es que esta lista separada se revise con mayor detalle para verificar la validez de los resultados. Cada alerta indica que se detectó mediante IA. Para obtener información sobre cómo ver alertas de secretos genéricos, consulta "Administración de alertas del examen de secretos."
Mejora del rendimiento de la detección de secretos genéricos
Para mejorar el rendimiento de la detección de secretos genéricos, recomendamos cerrar adecuadamente las alertas de falsos positivos y proporcionar información cuando surjan problemas.
Verificar la precisión de las alertas y cerrarlas según proceda
Ya que la detección de secretos genéricos con tecnología de IA puede generar más falsos positivos que la función existente secret scanning para patrones de socios, es importante que revises la precisión de estas alertas. Cuando compruebes que una alerta es un falso positivo, asegúrate de cerrar la alerta y marcar el motivo como "Falso positivo" en la GitHub UI. El equipo de desarrollo de GitHub usará esta información para mejorar el modelo.
Envío de comentarios
La detección de secretos genéricos se encuentra actualmente en fase beta. Si encuentras algún problema o limitación con la función, te recomendamos que nos envíes tus comentarios a través del botón Enviar comentarios que aparece debajo de cada secreto detectado en la lista de alertas del repositorio, organización o empresa. Esto puede ayudar a los desarrolladores a mejorar la herramienta y solucionar cualquier problema o limitación.
Limitaciones de la detección genérica de secretos
Al usar la detección genérica de secretos para secret scanning, se deben tener en cuenta las siguientes limitaciones.
Ámbito limitado
Actualmente, la detección genérica de secretos con tecnología de IA solo busca instancias de contraseñas en el contenido git. La característica no busca otros tipos de secretos genéricos, y no busca secretos en contenido no git, como GitHub Issues.
Posibilidad de falsas alertas positivas
La detección de secretos genéricos con tecnología de IA puede generar más alertas de falsos positivos en comparación con la función existente secret scanning (que detecta patrones de socios y tiene una tasa de falsos positivos muy baja). Para mitigar este exceso de ruido, las alertas se agrupan en una lista separada de las alertas de patrones de socios, y los administradores de seguridad y mantenedores deben evaluar cada alerta para verificar su exactitud.
Posibilidad de informes incompletos
La detección de secretos genéricos con tecnología de IA puede omitir casos de credenciales registradas en un repositorio. El LLM mejorará con el tiempo. Eres el único responsable de garantizar la seguridad de tu código.
Evaluación de la detección de secretos genéricos
La detección de secretos genéricos está sujeta a un "Red Teaming" de IA responsable y GitHub continuará supervisando la eficacia y seguridad de la función a lo largo del tiempo.
Pasos siguientes
- Habilitar de la detección de secretos genéricos con tecnología de IA
- Administración de alertas del examen de secretos