Administración de alertas de examen de secretos
Nota: Las alertas se crean únicamente para los repositorios que tienen habilitada la característica de alertas de examen de secretos para usuarios. Los secretos que se encuentran en los repositorios públicos utilizando el servicio gratuito de alertas de examen de secretos para asociados se notifican directamente al asociado, sin crear una alerta. Para obtener más información, vea «Patrones de análisis de secretos».
-
En GitHub.com, navega a la página principal del repositorio. 1. En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.
-
En la barra lateral de la izquierda, en "Alertas de vulnerabilidad", haz clic en Secret scanning .
-
En "Secret scanning", haz clic en la alerta que quieras ver.
-
Opcionalmente, si el secreto filtrado es un token de GitHub, comprueba la validez del secreto y sigue los pasos de corrección.
Nota: La comprobación de la validez de tokens de GitHub se encuentra actualmente en versión beta pública y está sujeta a cambios.
GitHub proporciona información sobre la validez del secreto únicamente para tokens de GitHub.
Validez Resultado Secreto activo GitHub ha confirmado que este secreto está activo. Secreto activo GitHub ha consultado el proveedor de este secreto y ha detectado que el secreto está activo. Secreto posiblemente activo GitHub aún no admite comprobaciones de validación para este tipo de token. Secreto posiblemente activo GitHub no ha podido comprobar este secreto. El secreto aparece inactivo Debes asegurarte de que no se ha producido ningún acceso no autorizado. -
Para descartar una alerta, selecciona el menú desplegable "Cerrar como" y haz clic en un motivo para resolver una alerta.
-
Opcionalmente, en el campo "Comentario", agrega un comentario de descarte. El comentario de descarte se agregará a la escala de tiempo de la alerta y se puede usar como justificación durante el proceso de auditoría y creación de informes. Puedes ver el historial de todas las alertas descartadas y los comentarios del descarte en la escala de tiempo de la alerta. También puedes recuperar o establecer un comentario mediante la API Secret scanning. El comentario está incluido en el campo
resolution_comment
. Para más información, consulta "Análisis de secretos" en la documentación de REST API. -
Haz clic en Cerrar alerta.
Asegurar los secretos en riesgo
Cuando un secreto se haya confirmado en un repositorio, deberás considerarlo en riesgo. GitHub recomienda tomar las siguientes acciones para los secretos puestos en riesgo:
-
Para un GitHub personal access token comprometido, elimina el token comprometido, crea un nuevo token y actualiza todo servicio que use el token antiguo. Para obtener más información, vea «Creación de un token de acceso personal».
- Si tu organización es propiedad de una cuenta empresarial, identifica mediante la opción las acciones realizadas por el token en peligro en los recursos de la empresa. Para obtener más información, vea «Identificación de eventos de registro de auditoría que realiza un token de acceso».
-
Para el resto de secretos, compruebe primero que los que se hayan confirmado en GitHub Enterprise Cloud sean válidos. Si es así, cree un secreto, actualice los servicios que usan el secreto anterior y, después, elimine el secreto anterior.
Nota: Si se detecta un secreto en un repositorio público en GitHub.com y dicho secreto también coincide con el patrón de un asociado, se generará una alerta y el secreto potencial se notifica al proveedor de servicios. Para obtener detalles sobre los patrones de asociado, consulta "Patrones de análisis de secretos".
Configurar las notificaciones para alertas de examen de secretos
Cuando se detecta un secreto nuevo, GitHub Enterprise Cloud notifica a todos los usuarios con acceso a las alertas de seguridad del repositorio de acuerdo con sus preferencias de notificación. Recibirás una notificación por correo electrónico si:
- estás viendo el repositorio.
- has habilitado notificaciones para "Toda la actividad" o para "Alertas de seguridad" personalizadas en el repositorio.
- en la configuración de notificación, en "Suscripciones", en "Ver", has seleccionado recibir notificaciones por correo electrónico.
También recibirás una notificación si eres el autor de la confirmación que contiene el secreto y no ignoras el repositorio.
-
En GitHub.com, navega a la página principal del repositorio.
-
Para empezar a ver el repositorio, selecciona Ver.
-
En el menú desplegable, haz clic en Toda la actividad. Como alternativa, para suscribirte solo a alertas de seguridad, haz clic en Personalizar y, a continuación, en Alertas de seguridad.
-
Ve a la configuración de notificación de tu cuenta personal. Está disponible en https://github.com/settings/notifications.
-
En la página de configuración de notificaciones, en "Suscripciones", después en "Ver", selecciona el desplegable Notificarme.
-
Selecciona "Correo electrónico" como opción de notificación y, a continuación, haz clic en Guardar.
Para obtener más información, consulta "Administración de la configuración de seguridad y análisis para el repositorio" y "Configurar los ajustes de observación para un repositorio individual".
Auditoría de respuestas a alertas de análisis de secretos
Puedes auditar las acciones realizadas en respuesta a las alertas de secret scanning mediante las herramientas de GitHub. Para obtener más información, vea «Auditoría de alertas de seguridad».