En esta guía se presupone que has planificado e iniciado una prueba de GitHub Advanced Security para una cuenta empresarial de GitHub existente o de prueba; consulta Planificación de un período de evaluación de GitHub Advanced Security.
Introducción
Las características de Secret scanning funcionan de la misma manera en repositorios privados e internos con GitHub Advanced Security habilitados que en los repositorios públicos. Este artículo se centra en la funcionalidad adicional que puedes usar para proteger tu empresa frente a pérdidas de seguridad al usarGitHub Advanced Security, es decir:
- Identificar tokens de acceso adicionales que uses.
- Detectar posibles contraseñas mediante IA.
- Controlar y auditar el proceso de omisión para la protección de inserción.
- Habilitar comprobaciones de validez para los tokens expuestos.
Configuración de seguridad para secret scanning
La mayoría de las empresas eligen habilitar secret scanning y la protección de inserción en todos sus repositorios aplicando configuraciones de seguridad con estas características habilitadas. Esto garantiza que se comprueben los repositorios en busca de tokens de acceso que ya se hayan agregado a GitHub, además de marcar cuándo los usuarios están a punto de filtrar tokens en GitHub. Para obtener información sobre cómo crear una configuración de seguridad para toda la empresa y cómo aplicarla a los repositorios de prueba, consulta Enabling security features in your trial enterprise.
Provisión de acceso para ver los resultados de secret scanning
De forma predeterminada, solo el administrador del repositorio y el propietario de la organización pueden ver todas las alertas de secret scanning en su área. Debes asignar el rol predefinido de administrador de seguridad a todos los equipos y usuarios de la organización que quieres que accedan a las alertas que se encuentren durante la prueba. Es posible que también quieras conceder este rol al propietario de la cuenta empresarial de cada una de las organizaciones de la prueba. Para más información, consulta Gestionar a los administradores de seguridad en tu organización.
Puedes ver un resumen de los resultados que se encuentren en las organizaciones de tu empresa de prueba en la pestaña Code security de la empresa. También hay vistas independientes para cada tipo de alerta de seguridad; consulta Visualización de información de seguridad.
Identificación de tokens de acceso adicionales
Puedes crear patrones personalizados para identificar tokens de acceso adicionales en el repositorio, la organización y la empresa. En la mayoría de los casos, debes definir patrones personalizados a nivel de empresa, ya que esto garantizará que los patrones se usen en toda la empresa. También hará que sean fáciles de mantener en caso de que necesites actualizar un patrón cuando cambie el formato de un token.
Una vez creados y publicados los patrones de datos, tanto secret scanning como la protección de inserción incluirán automáticamente los nuevos patrones en todos los análisis. Para más información sobre cómo crear patrones personalizados, consulta Definición de patrones personalizados para el examen de secretos.
Uso de IA para detectar posibles contraseñas
A nivel de empresa, tienes control total sobre si se permite o no el uso de inteligencia artificial para detectar secretos que no se puedan identificar mediante expresiones regulares (también denominados "secretos genéricos" o "patrones que no son de proveedor").
- Activa o desactiva la característica para toda la empresa.
- Establece una directiva para bloquear el control de la característica a nivel de organización y repositorio.
- Establece una directiva para permitir que los propietarios de la organización o los administradores del repositorio controlen la característica.
De forma similar a los patrones personalizados, si habilitas la detección mediante IA, tanto secret scanning como la protección de inserción comenzarán automáticamente a usar la detección mediante IA en todos los análisis. Para obtener información sobre el control a nivel empresarial, consulta Configuración de opciones adicionales de examen de secretos para tu empresa y Aplicación de directivas de seguridad y análisis de código de la empresa.
Control y auditoría del proceso de omisión
Cuando la protección de inserción bloquea una inserción en GitHub en un repositorio público sin GitHub Advanced Security, el usuario tiene dos opciones sencillas: omitir el control o quitar el contenido resaltado de la rama y su historial. Si opta por omitir la protección de inserción, se crea automáticamente una alerta de secret scanning. Esto permite a los desarrolladores desbloquear rápidamente su trabajo, al tiempo que proporciona una pista de auditoría para el contenido identificado por secret scanning.
Los equipos grandes suelen querer mantener un mayor control sobre la posible publicación de tokens de acceso y otros secretos. Con GitHub Advanced Security, puedes definir un grupo de revisores que aprueben las solicitudes para omitir la protección de inserción, lo que reduce el riesgo de que un desarrollador filtre accidentalmente un token que todavía esté activo. Los revisores se definen en una configuración de seguridad a nivel de organización o en la configuración del repositorio. Para más información, consulta Acerca de la omisión delegada para la protección de inserción.
Habilitación de comprobaciones de validez
Puedes habilitar comprobaciones de validez para saber si los tokens detectados siguen activos en el repositorio, la organización y la empresa. Por lo general, merece la pena habilitar esta característica en toda la empresa mediante configuraciones de seguridad a nivel de empresa u organización. Para más información, consulta Habilitación de comprobaciones de validez para el repositorio.
Pasos siguientes
Cuando hayas habilitado los controles adicionales para secret scanning disponibles con GitHub Advanced Security, podrás probarlos para saber si se ajustan a tus necesidades empresariales y explorarlos en mayor detalle. También es posible que quieras probar el code scanning.