Corrección de alertas
Cuando un secreto se haya confirmado en un repositorio, deberás considerarlo en riesgo. GitHub recomienda tomar las siguientes acciones para los secretos en peligro:
- Compruebe que el secreto confirmado en GitHub sea válido. Consulta Realización de una comprobación de validez a petición.
- En el caso de los secretos detectados en repositorios privados, notifique el secreto filtrado a GitHub, que lo tratará como cualquier secreto filtrado públicamente y lo revocará. Se aplica solo a personal access token de GitHub. Consulta Notificación de un secreto filtrado.
- Revise y actualice los servicios que usan el token anterior. En el caso de personal access token de GitHub, elimine el token en peligro y cree uno nuevo. Consulta Administración de tokens de acceso personal.
- En función del proveedor secreto, compruebe los registros de seguridad de cualquier actividad no autorizada.
Notificación de un secreto filtrado
Note
El proceso de informe de un secreto expuesto de forma privada a GitHub se encuentra en versión preliminar pública y está sujeto a cambios. La característica solo está disponible actualmente para personal access token de GitHub (v1 y v2).
Si se detecta un secreto en un repositorio público en GitHub y dicho secreto también coincide con el patrón de un asociado admitido, el secreto potencial se notifica automáticamente al proveedor de servicios. Para obtener detalles sobre todos los patrones de asociado admitidos, consulta Patrones de examen de secretos admitidos.
En el caso de los secretos detectados en repositorios privados, cualquier persona que pueda ver alertas de examen de secretos para un repositorio puede optar por notificar el secreto expuesto de forma privada directamente a GitHub.
Al notificar el secreto, el proveedor de tokens tratará el secreto expuesto de forma privada como si se hubiera filtrado públicamente. Esto significa que el proveedor de tokens puede revocar el secreto, por lo que primero debe considerar la posibilidad de revisar y actualizar los servicios que usan el secreto. Si es posible, también debe considerar la posibilidad de notificar al propietario del token antes de notificar el token, de modo que el propietario del token tenga en cuenta que el secreto puede revocarse.
Solo verá la opción de notificar un secreto expuesto de forma privada a GitHub si se cumplen las condiciones siguientes:
- El secreto es una personal access token de GitHub.
- No se ha confirmado la validez del secreto o la validez del secreto se ha confirmado como
active
.
-
En GitHub, navegue hasta la página principal del repositorio.
-
En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.
-
En la barra lateral de la izquierda, en "Alertas de vulnerabilidad", haz clic en Secret scanning .
-
En la lista de alertas, haga clic en la alerta que desea ver.
-
En la vista de alertas del secreto filtrado, haga clic en Notificar pérdida.
Note
Para evitar que se interrumpan los flujos de trabajo, considere la posibilidad de rotar primero el secreto antes de continuar, ya que la divulgación podría provocar la revocación del secreto. Si es posible, también debe ponerse en contacto con el propietario del token para informarle sobre la fuga y coordinar un plan de corrección.
-
Revise la información en el cuadro de diálogo y, a continuación, haga clic en Comprendo la consecuencia, notificar este secreto.
Cierre de alertas
Note
Secret scanning no cierra automáticamente las alertas cuando se ha quitado el token correspondiente del repositorio. Debe cerrar manualmente estas alertas en la lista de alertas de GitHub.
-
En GitHub, navegue hasta la página principal del repositorio.
-
En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.
-
En la barra lateral de la izquierda, en "Alertas de vulnerabilidad", haz clic en Secret scanning .
-
En "Secret scanning", haz clic en la alerta que quieres ver.
-
Para descartar una alerta, selecciona el menú desplegable "Cerrar como" y haz clic en un motivo para resolver una alerta.
-
Opcionalmente, en el campo "Comentario", agrega un comentario de descarte. El comentario de descarte se agregará a la escala de tiempo de la alerta y se puede usar como justificación durante el proceso de auditoría y creación de informes. Puedes ver el historial de todas las alertas descartadas y los comentarios del descarte en la escala de tiempo de la alerta. También puedes recuperar o establecer un comentario mediante la API Secret scanning. El comentario está incluido en el campo
resolution_comment
. Para más información, consulta Puntos de conexión de la API REST para el examen de secretos en la documentación de la API REST. -
Haz clic en Cerrar alerta.