Skip to main content
Publicamos actualizaciones para la documentación con frecuencia y es posible que aún se esté traduciendo esta página. Para obtener la información más reciente, consulta la documentación en inglés.
All products
Seguridad de código

Administración de alertas del examen de secretos

En este artículo

Puedes ver y cerrar las alertas para los secretos que se hayan revisado en tu repositorio.

Quién puede usar esta característica

People with admin access to a repository can view and dismiss secret scanning alerts for the repository.

Alertas de examen de secretos para asociados se ejecuta de forma automática en repositorios públicos para notificar a los proveedores de servicio sobre secretos filtrados en GitHub.com.

Alertas de examen de secretos para usuarios están disponibles de forma gratuita en todos los repositorios públicos. Las organizaciones que usan GitHub Enterprise Cloud con una licencia de GitHub Advanced Security también pueden habilitar alertas de examen de secretos para usuarios en sus repositorios privados e internos. Para más información, consulta "Acerca del examen de secretos" y "Acerca de GitHub Advanced Security".

Administración de alertas de examen de secretos

Nota: Las alertas se crean únicamente para los repositorios que tienen habilitada la característica de alertas de examen de secretos para usuarios. Los secretos que se encuentran en los repositorios públicos utilizando el servicio gratuito de alertas de examen de secretos para asociados se notifican directamente al asociado, sin crear una alerta. Para obtener más información, vea «Patrones de análisis de secretos».

  1. En GitHub.com, navega a la página principal del repositorio. 1. En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad. Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro.

  2. En la barra lateral de la izquierda, en "Alertas de vulnerabilidad", haz clic en Secret scanning .

  3. En "Secret scanning", haz clic en la alerta que quieras ver.

  4. Opcionalmente, si el secreto filtrado es un token de GitHub, comprueba la validez del secreto y sigue los pasos de corrección.

    Captura de pantalla de la interfaz de usuario para un token de GitHub, en la que se muestran los pasos de comprobación de validez y corrección sugeridos.

    Nota: La comprobación de la validez de tokens de GitHub se encuentra actualmente en versión beta pública y está sujeta a cambios.

    GitHub proporciona información sobre la validez del secreto únicamente para tokens de GitHub.

    ValidezResultado
    Secreto activoGitHub ha confirmado que este secreto está activo.
    Secreto activoGitHub ha consultado el proveedor de este secreto y ha detectado que el secreto está activo.
    Secreto posiblemente activoGitHub aún no admite comprobaciones de validación para este tipo de token.
    Secreto posiblemente activoGitHub no ha podido comprobar este secreto.
    El secreto aparece inactivoDebes asegurarte de que no se ha producido ningún acceso no autorizado.

  5. Para descartar una alerta, selecciona el menú desplegable "Cerrar como" y haz clic en un motivo para resolver una alerta.

    Captura de pantalla de una alerta secret scanning. Se despliega un menú desplegable, titulado "Cerrar como", resaltado con un contorno naranja oscuro.

  6. Opcionalmente, en el campo "Comentario", agrega un comentario de descarte. El comentario de descarte se agregará a la escala de tiempo de la alerta y se puede usar como justificación durante el proceso de auditoría y creación de informes. Puedes ver el historial de todas las alertas descartadas y los comentarios del descarte en la escala de tiempo de la alerta. También puedes recuperar o establecer un comentario mediante la API Secret scanning. El comentario está incluido en el campo resolution_comment. Para más información, consulta "Análisis de secretos" en la documentación de REST API.

  7. Haz clic en Cerrar alerta.

Asegurar los secretos en riesgo

Cuando un secreto se haya confirmado en un repositorio, deberás considerarlo en riesgo. GitHub recomienda tomar las siguientes acciones para los secretos puestos en riesgo:

  • Para un GitHub personal access token comprometido, elimina el token comprometido, crea un nuevo token y actualiza todo servicio que use el token antiguo. Para obtener más información, vea «Creación de un token de acceso personal».

  • Para el resto de secretos, compruebe primero que los que se hayan confirmado en GitHub Enterprise Cloud sean válidos. Si es así, cree un secreto, actualice los servicios que usan el secreto anterior y, después, elimine el secreto anterior.

Nota: Si se detecta un secreto en un repositorio público en GitHub.com y dicho secreto también coincide con el patrón de un asociado, se generará una alerta y el secreto potencial se notifica al proveedor de servicios. Para obtener detalles sobre los patrones de asociado, consulta "Patrones de análisis de secretos".

Configurar las notificaciones para alertas de examen de secretos

Cuando se detecta un secreto nuevo, GitHub Enterprise Cloud notifica a todos los usuarios con acceso a las alertas de seguridad del repositorio de acuerdo con sus preferencias de notificación. Recibirás una notificación por correo electrónico si:

  • estás viendo el repositorio.
  • has habilitado notificaciones para "Toda la actividad" o para "Alertas de seguridad" personalizadas en el repositorio.
  • en la configuración de notificación, en "Suscripciones", en "Ver", has seleccionado recibir notificaciones por correo electrónico.

También recibirás una notificación si eres el autor de la confirmación que contiene el secreto y no ignoras el repositorio.

  1. En GitHub.com, navega a la página principal del repositorio.

  2. Para empezar a ver el repositorio, selecciona Ver.

    Captura de pantalla de la página principal del repositorio. El menú desplegable, titulado "Ver", aparece resaltado con un contorno naranja.

  3. En el menú desplegable, haz clic en Toda la actividad. Como alternativa, para suscribirte solo a alertas de seguridad, haz clic en Personalizar y, a continuación, en Alertas de seguridad.

  4. Ve a la configuración de notificación de tu cuenta personal. Está disponible en https://github.com/settings/notifications.

  5. En la página de configuración de notificaciones, en "Suscripciones", después en "Ver", selecciona el desplegable Notificarme.

  6. Selecciona "Correo electrónico" como opción de notificación y, a continuación, haz clic en Guardar.

    Captura de pantalla de la configuración de notificación de una cuenta de usuario. Se muestran un encabezado de elemento, titulado "Suscripciones" y un subencabezado, titulado "Ver". Un vínculo, con el título "Correo electrónico" está resaltado con un contorno naranja.

Para obtener más información, consulta "Administración de la configuración de seguridad y análisis para el repositorio" y "Configurar los ajustes de observación para un repositorio individual".

Auditoría de respuestas a alertas de análisis de secretos

Puedes auditar las acciones realizadas en respuesta a las alertas de secret scanning mediante las herramientas de GitHub. Para obtener más información, vea «Auditoría de alertas de seguridad».