Acerca de los patrones de secret scanning
GitHub Enterprise Cloud mantiene estos conjuntos diferentes de patrones de secret scanning:
-
Patrones de asociados. Se usan para detectar posibles secretos en todos los repositorios públicos.
- Para más información, consulta "Secretos admitidos para alertas de asociados".
- Para información sobre nuestro programa de asociados, consulta "Programa asociado del escaneo de secretos".
-
Patrones de alerta de usuario. Se usa para detectar posibles secretos en repositorios con alertas de examen de secretos para usuarios habilitado. Para más información, consulta "Secretos admitidos para alertas de usuario".
-
Patrones de protección de inserción. Se usan para detectar posibles secretos en repositorios con secret scanning como protección de inserción habilitada. Para obtener más información, consulta "Secretos compatibles para la protección de inserción".
Si cree que secret scanning debería haber detectado un secreto confirmado en el repositorio y no lo ha hecho, primero debe comprobar que GitHub admite el secreto. Para más información, consulte las secciones siguientes. Para más información sobre solución avanzada de problemas, consulta "Solución de problemas de examen de secretos".
Secretos compatibles con alertas de asociados
GitHub Enterprise Cloud examina actualmente los repositorios públicos de los secretos emitidos por los siguientes proveedores de servicios y alerta al proveedor de servicios pertinente cada vez que se detecta un secreto en una confirmación. Para obtener más información sobre alertas de examen de secretos para asociados, consulta "Acerca del examen de secretos".
Si el acceso a un recurso requiere credenciales emparejadas, la exploración de secretos creará una alerta solo cuando se detecten las dos partes del par en el mismo archivo. Esto garantiza que las fugas más críticas no queden ocultas detrás de la información sobre fugas parciales. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par deben usarse juntos para acceder al recurso del proveedor.
Asociado | Secreto compatible |
---|
Secretos admitidos para alertas de usuario
Cuando alertas de examen de secretos para usuarios están habilitados, GitHub examina los repositorios para ver si hay secretos emitidos por los siguientes proveedores de servicios y genera alertas de examen de secretos. Puedes ver estas alertas en la pestaña Seguridad del repositorio. Para más información sobre alertas de examen de secretos para usuarios, consulta "Acerca del examen de secretos".
Si el acceso a un recurso requiere credenciales emparejadas, la exploración de secretos creará una alerta solo cuando se detecten las dos partes del par en el mismo archivo. Esto garantiza que las fugas más críticas no queden ocultas detrás de la información sobre fugas parciales. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par deben usarse juntos para acceder al recurso del proveedor.
Si usas la API REST para el examen de secretos, puedes usar Secret type
para informar sobre secretos de emisores específicos. Para obtener más información, vea «Análisis de secretos».
Nota: También puede definir patrones personalizados de secret scanning para el repositorio, la organización o la empresa. Para obtener más información, vea «Definición de patrones personalizados para el examen de secretos».
Proveedor | Secreto compatible | Tipo de secreto |
---|
Secretos compatibles para la protección de inserción
Secret scanning como protección de inserción examina actualmente los repositorios en busca de secretos emitidos por los siguientes proveedores de servicios.
Si el acceso a un recurso requiere credenciales emparejadas, la exploración de secretos creará una alerta solo cuando se detecten las dos partes del par en el mismo archivo. Esto garantiza que las fugas más críticas no queden ocultas detrás de la información sobre fugas parciales. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par deben usarse juntos para acceder al recurso del proveedor.
Es posible que las versiones anteriores de ciertos tokens no sean compatibles con la protección de inserción, ya que estos tokens pueden generar un número mayor de falsos positivos que su versión más reciente. Es posible que la protección de inserción tampoco se aplique a los tokens heredados. En el caso de tokens como claves de Azure Storage, GitHub solo admite tokens creados recientemente, no tokens que coincidan con los patrones heredados. Para más información sobre las limitaciones de la protección de inserción, consulta "Solución de problemas de examen de secretos".
Proveedor | Secreto compatible | Tipo de secreto |
---|