Trabajar con protección de inserción en la interfaz de usuario de GitHub

Obtén información sobre las opciones para desbloquear la confirmación cuando secret scanning detecte un secreto en los cambios.

¿Quién puede utilizar esta característica?

Propietarios de repositorios, propietarios de organizaciones, administradores de seguridad y usuarios con el rol de administrador

En este artículo

Acerca de la protección de inserción en la interfaz de usuario de GitHub

Cuando cargue, cree, o edite archivos de la interfaz de usuario de GitHub, la protección de inserción impide que se confirmen accidentalmente secretos en un repositorio bloqueando confirmaciones que contienen secretos admitidos.

GitHub también bloqueará la confirmación si intenta cargar archivos que contienen secretos admitidos.

Note

La protección de inserción para las cargas de archivos en la interfaz de usuario web se encuentra actualmente en versión preliminar pública y está sujeta a cambios.

Debes hacer una de estas cosas:

GitHub solo mostrará un secreto detectado a la vez en la interfaz de usuario web. Si ya se ha detectado un secreto determinado en el repositorio y ya existe una alerta, GitHub no bloqueará ese secreto.

Los propietarios de la organización pueden proporcionar un vínculo personalizado que se mostrará cuando se bloquee un envío de cambios. Este vínculo personalizado puede incluir recursos y consejos específicos de tu organización. Por ejemplo, el vínculo personalizado puede apuntar a un archivo Léame con información sobre el almacén de secretos de la organización, a qué equipos y personas se deben escalar las preguntas, o a la directiva aprobada de la organización para trabajar con secretos y reescribir el historial de confirmaciones.

Resolución de una confirmación bloqueada

Cuando se usa la interfaz de usuario web para intentar confirmar un secreto admitido en un repositorio asegurado mediante la protección de inserción GitHub bloqueará la confirmación.

Verás un cuadro de diálogo con información sobre la ubicación del secreto, así como opciones que te permiten insertarlo. El secreto también estará subrayado en el archivo para que puedas encontrarlo fácilmente.

Para resolver una confirmación bloqueada en la interfaz de usuario web, debe eliminar el secreto del archivo. Una vez que quite el secreto, puede confirmar los cambios.

Note

Para obtener información sobre cómo resolver una inserción bloqueada en la línea de comandos, consulta "Trabajar con protección de inserción desde la línea de comandos".

Omisión de la protección de inserción

Si GitHub bloquea un secreto que cree que es seguro confirmar, puede ser capaz de omitir el bloque especificando un motivo para permitir el secreto.

Cuando permites la inserción de un secreto, se crea una alerta en la pestaña Seguridad. GitHub cierra la alerta y no envía una notificación si especificas que el secreto es un falso positivo o que solo se usa en las pruebas. Si especificas que el secreto es real y lo corregirás más adelante, GitHub mantiene abierta la alerta de seguridad y envía notificaciones al creador de la confirmación, así como a los administradores del repositorio. Para obtener más información, vea «Administración de alertas del examen de secretos».

Cuando un colaborador omite un bloque de protección de inserción para un secreto, GitHub también envía una alerta por correo electrónico a los propietarios de la organización, los administradores de seguridad y los administradores de repositorios que han optado por recibir notificaciones por correo electrónico.

  1. En el cuadro de diálogo que ha aparecido cuando GitHub ha bloqueado la confirmación, revisa el nombre y la ubicación del secreto.

  2. Elija la opción que mejor describa por qué debería poder insertar el secreto.

    • Si el secreto solo se usa en pruebas y no supone ninguna amenaza, haga clic en Se usa en las pruebas.
    • Si la cadena detectada no es un secreto, haga clic en Es un falso positivo.
    • Si el secreto es real, pero piensa corregirlo más adelante, haga clic en Lo corregiré más adelante.

    Nota: Debe especificar un motivo para omitir la protección de inserción si el repositorio tiene habilitado el examen de secretos.

    Al insertar en un repositorio público que no tiene habilitado el análisis de secretos, todavía está protegido de la inserción accidental de secretos gracias a la protección de inserción para usuarios, que está activado de manera predeterminada para su cuenta de usuario.

    Con la protección de inserción para usuarios, GitHub bloqueará automáticamente las inserciones en repositorios públicos si estas inserciones contienen secretos admitidos, pero no es necesario especificar un motivo para permitir el secreto y GitHub no generará una alerta. Para obtener más información, vea «Protección de inserción para usuarios».

  3. Haz clic en Permitir secreto.

Si no ve la opción de omitir el bloque es porque el administrador del repositorio o el propietario de la organización ha configurado controles más estrictos en torno a la protección de inserción. En su lugar, debe eliminar el secreto de la confirmación o enviar una solicitud de "privilegios de omisión" para insertar el secreto bloqueado. Para obtener más información, consulta "Solicitud de privilegios de omisión".

Solicitud de privilegios de omisión

Si su confirmación ha sido bloqueada por la protección de inserción, puede solicitar permiso para omitir el bloqueo. La solicitud se envía a un grupo designado de revisores, que aprobará o denegará la solicitud.

Las solicitudes expiran a los 7 días.

  1. En el cuadro de diálogo que ha aparecido cuando GitHub ha bloqueado la confirmación, revisa el nombre y la ubicación del secreto.
  2. Haga clic en Solicitud de inicio. La solicitud se abrirá en una pestaña nueva. 1. En "O solicitar privilegios de omisión", agregue un comentario. Por ejemplo, puede explicar por qué cree que el secreto es seguro para insertar o proporcionar contexto sobre la solicitud para omitir el bloque.
  3. Haga clic en Enviar solicitud.
  4. Compruebe las notificaciones por correo electrónico para obtener una respuesta a su solicitud.

Una vez que se haya revisado la solicitud, recibirá un correo electrónico en el que se le notificará la decisión.

Si se aprueba la solicitud, puede confirmar los cambios que contienen el secreto en el archivo. También puede confirmar cualquier cambio futuro que contenga el mismo secreto.

Si se deniega la solicitud, deberá eliminar el secreto del archivo para poder confirmar los cambios.

Información adicional