Skip to main content

Administrar las alertas del escaneo de secretos

Puedes ver y cerrar las alertas para los secretos que se hayan revisado en tu repositorio.

El Escaneo de secretos para la seguridad avanzada se encuentra disponible para los repositorios que pertenecen a organizaciones de GitHub Enterprise Cloud si tu empresa tiene una licencia de GitHub Advanced Security. Para obtener más información, consulta la sección "Productos de GitHub".

Administrar las alertas del escaneo de secretos

Nota: Las alertas se crean únicamente para los repositorios que tienen habilitada la >- escaneo de secretos para la seguridad avanzada. Los secretos que se encuentran en los repositorios públicos utilizando el servicio gratuito de escaneo de secretos para patrones asociados se reportan directamente al socio, sin crear una alerta.

  1. En GitHub.com, visita la página principal del repositorio.

  2. Debajo de tu nombre de repositorio, da clic en Seguridad. Pestaña de seguridad

  3. En la barra lateral izquierda, haz clic en Alertas del escaneo de secretos.

    Pestaña de "Alertas del escaneo de secretos"

  4. Debajo de "Escaneo de secretos" da clic en la alerta que quieras ver.

    Lista de alertas del escaneo de secretos

  5. Opcionalmente, selecciona el menú desplegable de "Cerrar como" y haz clic en la razón para resolver una alerta.

    Menú desplegable para resolver una alerta del escaneo de secretos

Asegurar los secretos en riesgo

Cuando un secreto se haya confirmado en un repositorio, deberás considerarlo en riesgo. GitHub recomienda tomar las siguientes acciones para los secretos puestos en riesgo:

  • Para un token de acceso personal de GitHub comprometido, elimina el token comprometido, crea un nuevo token y actualiza todo servicio que use el token antiguo. Para obtener más información, consulta la sección "Crear un token de acceso personal para la línea de comandos".
  • Para todos los demás secretos, verifica primero que aquellos que se hayan confirmado en GitHub Enterprise Cloud sean válidos. De ser así, crea un secreto nuevo, actualiza cualquier servicio que utilice el secreto anterior, y luego bórralo.

Nota: Si se detecta un secreto en un repositorio público en GitHub.com y dicho secreto también empata con un patrón asociado, se generará una alerta y el secreto potencial se reporta al proveedor de servicios. Para obtener más detalles sobre los patrones asociados, consulta la sección "Secretos compatibles para los patrones asociados".

Configurar las notificaciones para las alertas del escaneo de secretos

Cuando se detecta un secreto nuevo, GitHub Enterprise Cloud notifica a todos los usuarios con acceso a las alertas de seguridad del repositorio de acuerdo con sus preferencias de notificación. Recibirás una notificación por correo electrónico si estás observando el repositorio, habilitaste las notificaciones para las alertas de seguridad o para toda la actividad del repositorio o si eres el autor de la confirmación que contiene el secreto y no estás ignorando el repositorio.

Para obtener más información, consulta las secciones "Administrar la seguridad y configuración de análisis para tu repositorio" y "Configurar las notificaciones".