Resolución de alertas del examen de secretos

Después de revisar los detalles de una alerta de análisis de secretos, debe corregir y cerrar la alerta.

¿Quién puede utilizar esta característica?

Propietarios de repositorios, propietarios de organizaciones, administradores de seguridad y usuarios con el rol de administrador

En este artículo

Corrección de alertas

Cuando un secreto se haya confirmado en un repositorio, deberás considerarlo en riesgo. GitHub recomienda tomar las siguientes acciones para los secretos en peligro:

  • Compruebe que el secreto confirmado en GitHub sea válido. Consulte "Realización de una comprobación de validez a petición".
  • En el caso de los secretos detectados en repositorios privados, notifique el secreto filtrado a GitHub, que lo tratará como cualquier secreto filtrado públicamente y lo revocará. Se aplica solo a personal access token de GitHub. Consulte "Notificación de un secreto filtrado".
  • Revise y actualice los servicios que usan el token anterior. En el caso de personal access token de GitHub, elimine el token en peligro y cree uno nuevo. Consulte "Administración de tokens de acceso personal".
  • En función del proveedor secreto, compruebe los registros de seguridad de cualquier actividad no autorizada.

Notificación de un secreto filtrado

Note

El proceso de informe de un secreto expuesto de forma privada a GitHub se encuentra en versión preliminar pública y está sujeto a cambios. La característica solo está disponible actualmente para personal access token de GitHub (v1 y v2).

Si se detecta un secreto en un repositorio público en GitHub y dicho secreto también coincide con el patrón de un asociado admitido, el secreto potencial se notifica automáticamente al proveedor de servicios. Para obtener detalles sobre todos los patrones de asociado admitidos, consulte "Patrones de examen de secretos admitidos".

En el caso de los secretos detectados en repositorios privados, cualquier persona que pueda ver alertas de examen de secretos para un repositorio puede optar por notificar el secreto expuesto de forma privada directamente a GitHub.

Al notificar el secreto, el proveedor de tokens tratará el secreto expuesto de forma privada como si se hubiera filtrado públicamente. Esto significa que el proveedor de tokens puede revocar el secreto, por lo que primero debe considerar la posibilidad de revisar y actualizar los servicios que usan el secreto. Si es posible, también debe considerar la posibilidad de notificar al propietario del token antes de notificar el token, de modo que el propietario del token tenga en cuenta que el secreto puede revocarse.

Solo verá la opción de notificar un secreto expuesto de forma privada a GitHub si se cumplen las condiciones siguientes:

  • El secreto es una personal access token de GitHub.
  • No se ha confirmado la validez del secreto o la validez del secreto se ha confirmado como active.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro.

  3. En la barra lateral de la izquierda, en "Alertas de vulnerabilidad", haz clic en Secret scanning .

  4. En la lista de alertas, haga clic en la alerta que desea ver.

  5. En la vista de alertas del secreto filtrado, haga clic en Notificar pérdida.

    Note

    Para evitar que se interrumpan los flujos de trabajo, considere la posibilidad de rotar primero el secreto antes de continuar, ya que la divulgación podría provocar la revocación del secreto. Si es posible, también debe ponerse en contacto con el propietario del token para informarle sobre la fuga y coordinar un plan de corrección.

  6. Revise la información en el cuadro de diálogo y, a continuación, haga clic en Comprendo la consecuencia, notificar este secreto.

Cierre de alertas

Note

Secret scanning no cierra automáticamente las alertas cuando se ha quitado el token correspondiente del repositorio. Debe cerrar manualmente estas alertas en la lista de alertas de GitHub.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro.

  3. En la barra lateral de la izquierda, en "Alertas de vulnerabilidad", haz clic en Secret scanning .

  4. En "Secret scanning", haz clic en la alerta que quieres ver.

  5. Para descartar una alerta, selecciona el menú desplegable "Cerrar como" y haz clic en un motivo para resolver una alerta.

    Captura de pantalla de una alerta secret scanning. Se despliega un menú desplegable, titulado "Cerrar como", resaltado con un contorno naranja oscuro.

  6. Opcionalmente, en el campo "Comentario", agrega un comentario de descarte. El comentario de descarte se agregará a la escala de tiempo de la alerta y se puede usar como justificación durante el proceso de auditoría y creación de informes. Puedes ver el historial de todas las alertas descartadas y los comentarios del descarte en la escala de tiempo de la alerta. También puedes recuperar o establecer un comentario mediante la API Secret scanning. El comentario está incluido en el campo resolution_comment. Para más información, consulta "Puntos de conexión de la API REST para el examen de secretos" en la documentación de REST API.

  7. Haz clic en Cerrar alerta.

Pasos siguientes