Skip to main content
Publicamos actualizaciones para la documentación con frecuencia y es posible que aún se esté traduciendo esta página. Para obtener la información más reciente, consulta la documentación en inglés.
All products
Seguridad de código

Administración de alertas del examen de secretos

Escanear en búsqueda de secretos4 de 8 en la ruta de aprendizaje
Siguientes:Patrones de análisis de secretos

En este artículo

Puedes ver y cerrar las alertas para los secretos que se hayan revisado en tu repositorio.

Quién puede usar esta característica

People with admin access to a repository can view and dismiss secret scanning alerts for the repository.

Alertas de examen de secretos para asociados se ejecuta de forma automática en repositorios públicos para notificar a los proveedores de servicio sobre secretos filtrados en GitHub.com.

Alertas de examen de secretos para usuarios están disponibles de forma gratuita en todos los repositorios públicos. Las organizaciones que usan GitHub Enterprise Cloud con una licencia de GitHub Advanced Security también pueden habilitar alertas de examen de secretos para usuarios en sus repositorios privados e internos. Para más información, consulta "Acerca del examen de secretos" y "Acerca de GitHub Advanced Security".

Administración de alertas de examen de secretos

Nota: Las alertas se crean únicamente para los repositorios que tienen habilitada la característica de alertas de examen de secretos para usuarios. Los secretos que se encuentran en los repositorios públicos y en los paquetes npm públicos utilizando el servicio gratuito de alertas de examen de secretos para asociados se notifican directamente al asociado, sin crear una alerta. Para obtener más información, vea «Patrones de análisis de secretos».

  1. En GitHub.com, navega a la página principal del repositorio. 1. En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad. Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro.

  2. En la barra lateral de la izquierda, en "Alertas de vulnerabilidad", haz clic en Secret scanning .

  3. En "Secret scanning", haz clic en la alerta que quieras ver.

  4. Opcionalmente, si el secreto filtrado es un token de GitHub, comprueba la validez del secreto y sigue los pasos de corrección. Si el token de GitHub está actualmente activo, también puedes revisar los metadatos del token. Para más información sobre la revisión de los metadatos del token, consulta "Revisión de los metadatos del token de GitHub".

    Captura de pantalla de la interfaz de usuario para un token de GitHub, en la que se muestran los pasos de comprobación de validez y corrección sugeridos.

    Nota: La comprobación de la validez de tokens de GitHub se encuentra actualmente en versión beta pública y está sujeta a cambios.

    GitHub proporciona información sobre la validez del secreto únicamente para tokens de GitHub.

    ValidezResultado
    Secreto activoGitHub ha confirmado que este secreto está activo.
    Secreto activoGitHub ha consultado el proveedor de este secreto y ha detectado que el secreto está activo.
    Secreto posiblemente activoGitHub aún no admite comprobaciones de validación para este tipo de token.
    Secreto posiblemente activoGitHub no ha podido comprobar este secreto.
    El secreto aparece inactivoDebes asegurarte de que no se ha producido ningún acceso no autorizado.

  5. Para descartar una alerta, selecciona el menú desplegable "Cerrar como" y haz clic en un motivo para resolver una alerta.

    Captura de pantalla de una alerta secret scanning. Se despliega un menú desplegable, titulado "Cerrar como", resaltado con un contorno naranja oscuro.

  6. Opcionalmente, en el campo "Comentario", agrega un comentario de descarte. El comentario de descarte se agregará a la escala de tiempo de la alerta y se puede usar como justificación durante el proceso de auditoría y creación de informes. Puedes ver el historial de todas las alertas descartadas y los comentarios del descarte en la escala de tiempo de la alerta. También puedes recuperar o establecer un comentario mediante la API Secret scanning. El comentario está incluido en el campo resolution_comment. Para más información, consulta "Análisis de secretos" en la documentación de REST API.

  7. Haz clic en Cerrar alerta.

Revisión de los metadatos del token de GitHub

Nota: Los metadatos de GitHub se encuentran actualmente en versión beta pública y están sujetos a cambios.

En la vista de una alerta de token de GitHub activa, puedes revisar determinados metadatos sobre el token. Estos metadatos pueden ayudarle a identificar el token y decidir qué pasos de corrección se deben realizar. Para más información sobre cómo ver alertas individuales, consulta "Administración de alertas de secret scanning".

Los tokens, como personal access token y otras credenciales, se consideran información personal. Para más información sobre el uso de tokens de GitHub, consulta Declaración de privacidad de GitHub y Directivas de uso aceptable.

Captura de pantalla de la interfaz de usuario de un token de GitHub, con sus metadatos.

Los metadatos de los tokens de GitHub están disponibles para los tokens activos de cualquier repositorio con el examen de secretos habilitado. Si se ha revocado un token o no se puede validar su estado, los metadatos no estarán disponibles. GitHub revoca automáticamente los tokens de GitHub de repositorios públicos, por lo que es poco probable que los metadatos de los tokens de GitHub de repositorios públicos estén disponibles. Los metadatos siguientes están disponibles para los tokens de GitHub activos:

MetadatosDescripción
Nombre del secretoNombre asignado al token GitHub por su creador.
Propietario del secretoIdentificador de GitHub del propietario del token.
Creado elFecha en que se creó el token.
Expiró elFecha de expiración del token.
Fecha de uso más recienteFecha en que se usó por última vez el token.
AccesoSi el token tiene acceso a la organización.

Asegurar los secretos en riesgo

Cuando un secreto se haya confirmado en un repositorio, deberás considerarlo en riesgo. GitHub recomienda tomar las siguientes acciones para los secretos puestos en riesgo:

  • Para un GitHub personal access token comprometido, elimina el token comprometido, crea un nuevo token y actualiza todo servicio que use el token antiguo. Para obtener más información, vea «Managing your personal access tokens».

  • Para el resto de secretos, compruebe primero que los que se hayan confirmado en GitHub Enterprise Cloud sean válidos. Si es así, cree un secreto, actualice los servicios que usan el secreto anterior y, después, elimine el secreto anterior.

Nota: Si se detecta un secreto en un repositorio público en GitHub.com y dicho secreto también coincide con el patrón de un asociado, se generará una alerta y el secreto potencial se notifica al proveedor de servicios. Para obtener detalles sobre los patrones de asociado, consulta "Patrones de análisis de secretos".

Configurar las notificaciones para alertas de examen de secretos

Las notificaciones son distintas para los exámenes incrementales y los exámenes históricos.

Exámenes incrementales

Cuando se detecta un secreto nuevo, GitHub Enterprise Cloud notifica a todos los usuarios con acceso a las alertas de seguridad del repositorio de acuerdo con sus preferencias de notificación. Entre estos usuarios se incluyen:

  • Administradores del repositorio
  • Administradores de seguridad
  • Usuarios con roles personalizados y acceso de lectura y escritura
  • Propietarios de la organización y propietarios de empresa, si son administradores de repositorios en los que se han filtrado secretos

Nota: Se informará a los autores que hayan confirmado secretos de forma accidental, independientemente de sus preferencias de notificación.

Recibirás una notificación por correo electrónico si:

  • Estás viendo el repositorio.
  • Has habilitado notificaciones para "Toda la actividad" o para "Alertas de seguridad" personalizadas en el repositorio.
  • En la configuración de notificación, en "Suscripciones" y en "Ver", has seleccionado recibir notificaciones por correo electrónico.

  1. En GitHub.com, navega a la página principal del repositorio.

  2. Para empezar a ver el repositorio, selecciona Ver.

    Captura de pantalla de la página principal del repositorio. El menú desplegable, titulado "Ver", aparece resaltado con un contorno naranja.

  3. En el menú desplegable, haz clic en Toda la actividad. Como alternativa, para suscribirte solo a alertas de seguridad, haz clic en Personalizar y, a continuación, en Alertas de seguridad.

  4. Ve a la configuración de notificación de tu cuenta personal. Está disponible en https://github.com/settings/notifications.

  5. En la página de configuración de notificaciones, en "Suscripciones", después en "Ver", selecciona el desplegable Notificarme.

  6. Selecciona "Correo electrónico" como opción de notificación y, a continuación, haz clic en Guardar.

    Captura de pantalla de la configuración de notificación de una cuenta de usuario. Se muestran un encabezado de elemento, titulado "Suscripciones" y un subencabezado, titulado "Ver". Un vínculo, con el título "Correo electrónico" está resaltado con un contorno naranja.

Para obtener más información sobre la configuración de preferencias de notificación, consulta "Administración de la configuración de seguridad y análisis para el repositorio" y "Configurar los ajustes de observación para un repositorio individual".

Exámenes históricos

En los exámenes históricos, GitHub Enterprise Cloud notifica a los usuarios siguientes:

  • Propietarios de la organización, propietarios de empresas y administradores de seguridad, siempre que se complete un examen histórico, aunque no se encuentren secretos.
  • Administradores de repositorios, administradores de seguridad y usuarios con roles personalizados con acceso de lectura y escritura, siempre que un examen histórico detecte un secreto y en función de sus preferencias de notificación.

No se notifica a los autores de las confirmaciones.

Para obtener más información sobre la configuración de preferencias de notificación, consulta "Administración de la configuración de seguridad y análisis para el repositorio" y "Configurar los ajustes de observación para un repositorio individual".

Auditoría de respuestas a alertas de análisis de secretos

Puedes auditar las acciones realizadas en respuesta a las alertas de secret scanning mediante las herramientas de GitHub. Para obtener más información, vea «Auditoría de alertas de seguridad».

AnteriorDefinición de patrones personalizados para el examen de secretosSiguientesPatrones de análisis de secretos