Skip to main content

Patrones de análisis de secretos

Listas de los secretos admitidos y los asociados con los que trabaja GitHub para evitar el uso fraudulento de secretos que se confirmaron por accidente.

¿Quién puede utilizar esta característica?

Secret scanning alerts for partners runs automatically on public repositories and public npm packages to notify service providers about leaked secrets on GitHub.

Secret scanning alerts for users are available for user-owned public repositories for free. Organizations using GitHub Enterprise Cloud with a license for GitHub Advanced Security can also enable secret scanning alerts for users on their private and internal repositories. Additionally, secret scanning alerts for users are available and in beta on user-owned repositories for GitHub Enterprise Cloud with Enterprise Managed Users. For more information, see "About secret scanning" and "About GitHub Advanced Security."

For information about how you can try GitHub Advanced Security for free, see "Setting up a trial of GitHub Advanced Security."

Acerca de los patrones de secret scanning

GitHub Enterprise Cloud mantiene estos conjuntos diferentes de patrones predeterminados de secret scanning:

  1. Patrones de asociados. Se usa para detectar posibles secretos en todos los repositorios públicos, así como en paquetes npm públicos. Para información sobre nuestro programa de asociados, consulta "Programa asociado del escaneo de secretos".

  2. Patrones de alerta de usuario. Se usa para detectar posibles secretos en repositorios con alertas de examen de secretos para usuarios habilitado.

  3. Patrones de protección de inserción. Se usan para detectar posibles secretos en repositorios con secret scanning como protección de inserción habilitada.

Para más información sobre todos los patrones admitidos, consulta la sección "Secretos admitidos" a continuación.

Si cree que secret scanning debería haber detectado un secreto confirmado en el repositorio y no lo ha hecho, primero debe comprobar que GitHub admite el secreto. Para más información, consulte las secciones siguientes. Para más información sobre solución avanzada de problemas, consulta "Solución de problemas de examen de secretos".

Acerca de las alertas de asociados

Las alertas de asociados son alertas que se envían a los proveedores de secretos cada vez que se notifica una filtración de uno de sus secretos. GitHub Enterprise Cloud examina actualmente los repositorios y los paquetes npm públicos en busca de los secretos emitidos por proveedores de servicios específicos y alerta al proveedor en cuestión cada vez que se detecta un secreto en una confirmación. Para obtener más información sobre alertas de examen de secretos para asociados, consulta "Acerca del examen de secretos".

Si el acceso a un recurso requiere credenciales emparejadas, la exploración de secretos creará una alerta solo cuando se detecten las dos partes del par en el mismo archivo. Esto garantiza que las fugas más críticas no queden ocultas detrás de la información sobre fugas parciales. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par deben usarse juntos para acceder al recurso del proveedor.

Acerca de las alertas usuario

Las alertas de usuario son alertas que se notifican a los usuarios en GitHub. Cuando alertas de examen de secretos para usuarios están habilitados, GitHub examina los repositorios para ver si hay secretos emitidos por una gran variedad de proveedores de servicios y genera alertas de examen de secretos.

Puedes ver estas alertas en la pestaña Seguridad del repositorio. Para más información sobre alertas de examen de secretos para usuarios, consulta "Acerca del examen de secretos".

Si el acceso a un recurso requiere credenciales emparejadas, la exploración de secretos creará una alerta solo cuando se detecten las dos partes del par en el mismo archivo. Esto garantiza que las fugas más críticas no queden ocultas detrás de la información sobre fugas parciales. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par deben usarse juntos para acceder al recurso del proveedor.

Si usas la API REST para el examen de secretos, puedes usar Secret type para informar sobre secretos de emisores específicos. Para obtener más información, vea «Puntos de conexión de la API REST para el examen de secretos».

Nota: También puede definir patrones personalizados de secret scanning para el repositorio, la organización o la empresa. Para obtener más información, vea «Definición de patrones personalizados para el examen de secretos».

Acerca de las alertas de protección de inserción

Las alertas de protección de inserción son alertas de usuario notificadas por la protección push. Secret scanning como protección de inserción examina actualmente los repositorios en busca de secretos emitidos por algunos proveedores de servicios.

Las alertas de protección de inserción no se crean para secretos que solo se omiten con la protección de inserción basada en el usuario. Para más información, consulta "Protección de inserción para usuarios".

Si el acceso a un recurso requiere credenciales emparejadas, la exploración de secretos creará una alerta solo cuando se detecten las dos partes del par en el mismo archivo. Esto garantiza que las fugas más críticas no queden ocultas detrás de la información sobre fugas parciales. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par deben usarse juntos para acceder al recurso del proveedor.

Es posible que las versiones anteriores de ciertos tokens no sean compatibles con la protección de inserción, ya que estos tokens pueden generar un número mayor de falsos positivos que su versión más reciente. Es posible que la protección de inserción tampoco se aplique a los tokens heredados. En el caso de tokens como claves de Azure Storage, GitHub solo admite tokens creados recientemente, no tokens que coincidan con los patrones heredados. Para más información sobre las limitaciones de la protección de inserción, consulta "Solución de problemas de examen de secretos".

Secretos admitidos

En esta tabla se enumeran los secretos admitidos por secret scanning. Puedes ver los tipos de alerta que se generan para cada token, así como si se realiza una comprobación de validez en el token.

  • Proveedor: nombre del proveedor de tokens.

  • Partner: token para el que se notifican fugas al asociado de token correspondiente. Solo se aplica a repositorios públicos.

  • Usuario: token para el que se notifican pérdidas a los usuarios en GitHub.

    • Se aplica a repositorios públicos y a repositorios privados donde GitHub Advanced Security, secret scanning.
    • Incluye tokens de confianza alta, que se relacionan con patrones admitidos y patrones personalizados especificados, así como tokens que no son de proveedor, como claves privadas, que suelen tener una relación mayor de falsos positivos.
    • Para que secret scanning busque patrones que no son de proveedor, la detección de patrones que no son de proveedor debe estar habilitada para el repositorio o la organización. Para obtener más información, vea «Configuración del examen de secretos para los repositorios».

    Nota: La detección de patrones que no son de proveedor está actualmente en versión beta y está sujeta a cambios.

  • Protección de envío de cambios: token para el que se notifican pérdidas a los usuarios en GitHub. Se a los repositorios con secret scanning y protección de inserción habilitada.

    Nota: Es posible que las versiones anteriores de ciertos tokens no sean compatibles con la protección de inserción, ya que estos tokens pueden generar un número mayor de falsos positivos que su versión más reciente. Es posible que la protección de inserción tampoco se aplique a los tokens heredados. En el caso de tokens como claves de Azure Storage, GitHub solo admite tokens creados recientemente, no tokens que coincidan con los patrones heredados. Para más información sobre las limitaciones de la protección de inserción, consulta «Solución de problemas de examen de secretos».

  • Comprobación de validez: token para el que se implementa una comprobación de validez. Para los tokens de asociado, GitHub envía el token al asociado correspondiente. Ten en cuenta que no todos los asociados tienen su sede en Estados Unidos. Para obtener más información, consulta «Advanced Security» en la documentación de la directiva del sitio.{ % else %}

Patrones que no son de proveedor

Nota: La detección de patrones que no son de proveedor está actualmente en versión beta y está sujeta a cambios.

ProveedorToken
Genéricohttp_basic_authentication_header
Genéricohttp_bearer_authentication_header
Genéricomongodb_connection_string
Genéricomysql_connection_string
Genéricoopenssh_private_key
Genéricopgp_private_key
Genéricopostgres_connection_string
Genéricorsa_private_key

No se admiten comprobaciones de validez y protección de inserción para patrones que no son de proveedor.

Patrones de confianza alta

ProveedorTokenAsociadoUsuarioProtección contra el envío de cambiosComprobación de validez
Adafruitadafruit_io_key
Adobeadobe_client_secret
Adobeadobe_device_token
Adobeadobe_pac_token
Adobeadobe_refresh_token
Adobeadobe_service_token
Adobeadobe_short_lived_access_token
Aivenaiven_auth_token
Aivenaiven_service_password
Alibabaalibaba_cloud_access_key_id
alibaba_cloud_access_key_secret
Amazon AWSaws_access_key_id
aws_secret_access_key
Amazon AWSaws_secret_access_key
aws_session_token
aws_temporary_access_key_id
Anthropicanthropic_api_key
Anthropicanthropic_session_id
Asanaasana_legacy_format_personal_access_token
Asanaasana_personal_access_token
Atlassianatlassian_api_token
Atlassianatlassian_api_token
Atlassianatlassian_jwt
Authressauthress_service_client_access_key
Azureazure_active_directory_application_secret
Azureazure_active_directory_application_secret
Azureazure_active_directory_application_secret
Azureazure_active_directory_user_credential
Azureazure_apim_direct_management_key
Azureazure_apim_gateway_key
Azureazure_apim_repository_key
Azureazure_apim_subscription_key
Azureazure_app_configuration_connection_string
Azureazure_batch_key_identifiable
Azureazure_cache_for_redis_access_key
Azureazure_communication_services_connection_string
Azureazure_container_registry_key_identifiable
Azureazure_cosmosdb_key_identifiable
Azureazure_devops_personal_access_token
Azureazure_event_hub_key_identifiable
Azureazure_function_key
Azureazure_iot_device_connection_string
Azureazure_iot_device_key
Azureazure_iot_device_provisioning_key
Azureazure_iot_hub_connection_string
Azureazure_iot_hub_key
Azureazure_iot_provisioning_connection_string
Azureazure_management_certificate
Azureazure_ml_web_service_classic_identifiable_key
Azureazure_relay_key_identifiable
Azureazure_sas_token
Azureazure_search_admin_key
Azureazure_search_query_key
Azureazure_service_bus_identifiable
Azureazure_signalr_connection_string
Azureazure_sql_connection_string
Azureazure_sql_password
Azureazure_storage_account_key
Azureazure_storage_account_key
Azureazure_web_pub_sub_connection_string
Azuremicrosoft_corporate_network_user_credential
Baidubaiducloud_api_accesskey
Beamerbeamer_api_key
Bitbucketbitbucket_server_personal_access_token
Canadian Digital Servicecds_canada_notify_api_key
Canvacanva_app_secret
Canvacanva_connect_api_secret
Canvacanva_secret
Cashfreecashfree_api_key
Checkout.comcheckout_production_secret_key
Checkout.comcheckout_production_secret_key
Checkout.comcheckout_test_secret_key
Checkout.comcheckout_test_secret_key
Chief Toolschief_tools_token
CircleCIcircleci_bot_access_token
CircleCIcircleci_personal_access_token
CircleCIcircleci_project_access_token
CircleCIcircleci_release_integration_token
Clojarsclojars_deploy_token
CloudBeescodeship_credential
Contentfulcontentful_personal_access_token
Contributed Systemscontributed_systems_credentials
crates.iocratesio_api_token
Databricksdatabricks_access_token
Datadogdatadog_api_key
Datadogdatadog_app_key
Defined Networkingdefined_networking_nebula_api_key
DevCycledevcycle_client_api_key
DevCycledevcycle_mobile_api_key
DevCycledevcycle_server_api_key
DigitalOceandigitalocean_oauth_token
DigitalOceandigitalocean_personal_access_token
DigitalOceandigitalocean_refresh_token
DigitalOceandigitalocean_system_token
Discorddiscord_bot_token
Discorddiscord_bot_token
Dockerdocker_personal_access_token
Dopplerdoppler_audit_token
Dopplerdoppler_cli_token
Dopplerdoppler_personal_token
Dopplerdoppler_scim_token
Dopplerdoppler_service_account_token
Dopplerdoppler_service_token
Dropboxdropbox_access_token
Dropboxdropbox_short_lived_access_token
Duffelduffel_live_access_token
Duffelduffel_test_access_token
Dynatracedynatrace_api_token
Dynatracedynatrace_internal_token
EasyPosteasypost_production_api_key
EasyPosteasypost_test_api_key
eBayebay_production_client_id
ebay_production_client_secret
eBayebay_sandbox_client_id
ebay_sandbox_client_secret
Facebookfacebook_access_token
Fastlyfastly_api_token
Fastlyfastly_api_token
Figmafigma_pat
Finicityfinicity_app_key
Firebasefirebase_cloud_messaging_server_key
Flutterwaveflutterwave_live_api_secret_key
Flutterwaveflutterwave_test_api_secret_key
Frame.ioframeio_developer_token
Frame.ioframeio_jwt
FullStoryfullstory_api_key
FullStoryfullstory_api_key
GitHubgithub_app_installation_access_token
GitHubgithub_app_installation_access_token
GitHubgithub_oauth_access_token
GitHubgithub_oauth_access_token
GitHubgithub_personal_access_token
GitHubgithub_personal_access_token
GitHubgithub_personal_access_token
GitHubgithub_refresh_token
GitHubgithub_ssh_private_key
GitHubgithub_test_token
GitHub Secret Scanningsecret_scanning_sample_token
GitLabgitlab_access_token
GoCardlessgocardless_live_access_token
GoCardlessgocardless_sandbox_access_token
Googlegoogle_api_key
Googlegoogle_cloud_private_key_id
Googlegoogle_cloud_service_account_credentials
Googlegoogle_cloud_storage_access_key_secret
google_cloud_storage_service_account_access_key_id
Googlegoogle_cloud_storage_access_key_secret
google_cloud_storage_user_access_key_id
Googlegoogle_oauth_access_token
Googlegoogle_oauth_client_id
google_oauth_client_secret
Googlegoogle_oauth_refresh_token
Grafanagrafana_cloud_api_key
Grafanagrafana_cloud_api_token
Grafanagrafana_project_api_key
Grafanagrafana_project_service_account_token
HashiCorphashicorp_vault_batch_token
HashiCorphashicorp_vault_batch_token
HashiCorphashicorp_vault_root_service_token
HashiCorphashicorp_vault_service_token
HashiCorphashicorp_vault_service_token
HashiCorpterraform_api_token
Highnotehighnote_rk_live_key
Highnotehighnote_rk_test_key
Highnotehighnote_sk_live_key
Highnotehighnote_sk_test_key
HOPhop_bearer
HOPhop_pat
HOPhop_ptk
Hubspothubspot_api_key
Hubspothubspot_api_key
Hubspothubspot_api_key
Hubspothubspot_personal_access_key
Hubspothubspot_smtp_credential
IBMibm_cloud_iam_key
IBMibm_softlayer_api_key
Intercomintercom_access_token
Ionicionic_personal_access_token
Ionicionic_personal_access_token
Ionicionic_refresh_token
Ionicionic_refresh_token
JFrogjfrog_platform_access_token
JFrogjfrog_platform_api_key
JFrogjfrog_platform_reference_token
Lightspeedlightspeed_xs_pat
Linearlinear_api_key
Linearlinear_oauth_access_token
Loblob_live_api_key
Loblob_test_api_key
Localstacklocalstack_api_key
LogicMonitorlogicmonitor_bearer_token
LogicMonitorlogicmonitor_lmv1_access_key
Login with Amazonamazon_oauth_client_id
amazon_oauth_client_secret
amazon_oauth_client_secret
Mailchimpmailchimp_api_key
Mailchimpmandrill_api_key
Mailgunmailgun_api_key
Mailgunmailgun_api_key
Mailgunmailgun_smtp_credential
Mapboxmapbox_secret_access_token
MaxMindmaxmind_license_key
Mercurymercury_non_production_api_token
Mercurymercury_production_api_token
Mergifymergify_application_key
MessageBirdmessagebird_api_key
Midtransmidtrans_production_server_key
Midtransmidtrans_sandbox_server_key
New Relicnew_relic_insights_query_key
New Relicnew_relic_license_key
New Relicnew_relic_personal_api_key
New Relicnew_relic_rest_api_key
Notionnotion_integration_token
Notionnotion_oauth_client_secret
npmnpm_access_token
npmnpm_access_token
npmnpm_access_token
NuGetnuget_api_key
Octopus Deployoctopus_deploy_api_key
Oculusoculus_access_token
OneChronosonechronos_api_key
OneChronosonechronos_eb_api_key
OneChronosonechronos_eb_encryption_key
OneChronosonechronos_oauth_token
OneChronosonechronos_refresh_token
Onfidoonfido_live_api_token
Onfidoonfido_sandbox_api_token
OpenAIopenai_api_key
OpenAIopenai_api_key
Orbitorbit_api_token
PagerDutypagerduty_oauth_secret
PagerDutypagerduty_oauth_token
Palantirpalantir_jwt
Persona Identitiespersona_production_api_key
Persona Identitiespersona_sandbox_api_key
Pinterestpinterest_access_token
Pinterestpinterest_refresh_token
PlanetScaleplanetscale_database_password
PlanetScaleplanetscale_oauth_token
PlanetScaleplanetscale_service_token
Plivoplivo_auth_id
plivo_auth_token
Postmanpostman_api_key
Postmanpostman_collection_key
Prefectprefect_server_api_key
Prefectprefect_user_api_key
Proctorioproctorio_consumer_key
Proctorioproctorio_linkage_key
Proctorioproctorio_registration_key
Proctorioproctorio_secret_key
Proctorioproctorio_secret_key
Pulumipulumi_access_token
PyPIpypi_api_token
ReadMereadmeio_api_access_token
redirect.pizzaredirect_pizza_api_token
Replicatereplicate_api_token
Rootlyrootly_api_key
RubyGemsrubygems_api_key
Samsarasamsara_api_token
Samsarasamsara_oauth_access_token
Segmentsegment_public_api_token
SendGridsendgrid_api_key
Sendinbluesendinblue_api_key
Sendinbluesendinblue_smtp_key
Shipposhippo_live_api_token
Shipposhippo_test_api_token
Shopifyshopify_access_token
Shopifyshopify_app_client_credentials
Shopifyshopify_app_client_secret
Shopifyshopify_app_shared_secret
Shopifyshopify_custom_app_access_token
Shopifyshopify_marketplace_token
Shopifyshopify_merchant_token
Shopifyshopify_partner_api_token
Shopifyshopify_private_app_password
Slackslack_api_token
Slackslack_api_token
Slackslack_api_token
Slackslack_incoming_webhook_url
Slackslack_workflow_webhook_url
Squaresquare_access_token
Squaresquare_access_token
Squaresquare_access_token
Squaresquare_production_application_secret
Squaresquare_sandbox_application_secret
SSLMatesslmate_api_key
SSLMatesslmate_api_key
SSLMatesslmate_cluster_secret
Stripestripe_api_key
Stripestripe_legacy_api_key
Stripestripe_live_restricted_key
Stripestripe_test_restricted_key
Stripestripe_test_secret_key
Stripestripe_webhook_signing_secret
Supabasesupabase_service_key
Supabasesupabase_service_key
Tableautableau_personal_access_token
Telegramtelegram_bot_token
Telnyxtelnyx_api_v2_key
Tencenttencent_cloud_secret_id
Tencenttencent_wechat_api_app_id
Twiliotwilio_access_token
Twiliotwilio_account_sid
Twiliotwilio_api_key
Typeformtypeform_personal_access_token
Uniwisewiseflow_api_key
Unkeyunkey_root_key
VolcEnginevolcengine_access_key_id
Wakatimewakatime_api_key
Wakatimewakatime_app_secret
Wakatimewakatime_oauth_access_token
Wakatimewakatime_oauth_refresh_token
Workatoworkato_developer_api_token
Workatoworkato_developer_api_token
Workatoworkato_developer_api_token
Workatoworkato_developer_api_token
WorkOSworkos_production_api_key
WorkOSworkos_production_api_key
WorkOSworkos_staging_api_key
WorkOSworkos_staging_api_key
Yandexyandex_cloud_api_key
Yandexyandex_cloud_iam_access_secret
Yandexyandex_cloud_iam_cookie
Yandexyandex_cloud_iam_token
Yandexyandex_cloud_smartcaptcha_server_key
Yandexyandex_dictionary_api_key
Yandexyandex_passport_oauth_token
Yandexyandex_predictor_api_key
Yandexyandex_translate_api_key
Zuplozuplo_consumer_api_key

Información adicional