Acerca de las comprobaciones de validez
Puede habilitar comprobaciones de validez de los secretos identificados como tokens de proveedor de servicios para el repositorio. Una vez habilitado, GitHub comprobará periódicamente la validez de una credencial detectada enviando el secreto directamente al proveedor, como parte del programa de asociación de análisis de secretos de GitHub. Para información sobre nuestro programa de asociados, consulta "Programa asociado del escaneo de secretos".
GitHub muestra el estado de validación del secreto en la vista de alertas, para que pueda ver si el secreto es active
, inactive
o si el estado de validación es unknown
. Opcionalmente, puede realizar una comprobación de validez "a petición" para el secreto en la vista de alertas.
Además, puedes optar por habilitar las comprobaciones de validez de los patrones asociados. Una vez habilitado, GitHub comprobará periódicamente la validez de una credencial detectada enviando el secreto directamente al proveedor, como parte del programa de asociación de análisis de secretos formal de GitHub. GitHub normalmente realiza solicitudes GET para comprobar la validez de la credencial, elige los puntos de conexión menos intrusivos y selecciona los puntos de conexión que no devuelven ninguna información personal.
GitHub muestra el estado de validación del secreto en la vista de alerta.
Puede filtrar por estado de validación en la página de alertas, para que pueda priorizar las alertas en las que debe realizar acciones.
Note
GitHub normalmente realiza solicitudes GET para comprobar la validez de la credencial, elige los puntos de conexión menos intrusivos y selecciona los puntos de conexión que no devuelven ninguna información personal.
Para obtener más información sobre el uso de las comprobaciones de validez, consulta Evaluación de alertas del examen de secretos.
Habilitación de comprobaciones de validez
-
En GitHub, navegue hasta la página principal del repositorio.
-
En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.
-
En la sección "Security" de la barra lateral, haz clic en Code security.
-
En Secret scanning, selecciona la casilla situada junto a "Comprobar automáticamente si un secreto es válido mediante el envío al asociado correspondiente".
También puedes usar la API de REST para habilitar las comprobaciones de validez de los patrones de asociados para tu repositorio. Para más información, consulta Puntos de conexión de la API de REST para repositorios.
Como alternativa, los propietarios de la organización y los administradores de empresa pueden habilitar la característica para todos los repositorios de la organización o la configuración empresarial. Para más información sobre habilitarlo en el nivel de la organización, consulta Creación de una configuración de seguridad personalizada. Para obtener más información sobre cómo habilitar en el nivel empresarial, consulta Administración de las características de GitHub Advanced Security para la empresa y Puntos de conexión de API de REST para la seguridad y el análisis del código empresarial.