Skip to main content

Esta versión de GitHub Enterprise Server se discontinuará el 2024-08-29. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener rendimiento mejorado, seguridad mejorada y nuevas características, actualice a la versión más reciente de GitHub Enterprise Server. Para obtener ayuda con la actualización, póngase en contacto con el soporte técnico de GitHub Enterprise.

Trabajar con protección de inserción

La protección de inserción protege de forma proactiva los secretos filtrados en los repositorios mediante el bloqueo de las inserciones que contienen secretos. Para insertar una confirmación que contenga un secreto, debe especificar un motivo para omitir el bloque.

¿Quién puede utilizar esta característica?

La protección de inserción está disponible para repositorios que son propiedad de una organización en GitHub Enterprise Server si la empresa tiene una licencia de GitHub Advanced Security.

Acerca de cómo trabajar con protección de inserción

La protección de inserción impide que los secretos se confirmen accidentalmente en un repositorio mediante el bloqueo de las inserciones que contienen secretos admitidos.

Puede trabajar con la protección de inserción desde la línea de comandos o desde la UI web.

Para obtener más información sobre cómo trabajar con protección de inserción, incluido cómo omitir el bloque si es necesario, vea "Uso de la protección de inserción desde la línea de comandos" y "Uso de la protección de inserción desde la interfaz de usuario web" en este artículo.

Uso de la protección de inserción desde la línea de comandos

Al intentar insertar un secreto admitido en un repositorio asegurado por protección de inserción GitHub bloqueará la inserción. Puede eliminar el secreto de la rama o seguir una dirección URL proporcionada } para permitir la inserción.

En la línea de comandos se mostrarán hasta cinco secretos detectados a la vez. Si ya se ha detectado un secreto determinado en el repositorio y ya existe una alerta, GitHub no bloqueará ese secreto.

Si confirmas que un secreto es real, debes quitar el secreto de la rama, de todas las confirmaciones en las que aparece, antes de volver a insertar. Para más información sobre cómo corregir secretos bloqueados, consulta "Inserción de una rama bloqueada por la protección de inserción".

Si confirma que un secreto es real y que pretende corregirlo más adelante, debe intentar corregirlo lo antes posible. Por ejemplo, podría revocar el secreto y quitarlo del historial de confirmaciones del repositorio. Los secretos reales que se han expuesto deben revocarse para evitar el acceso no autorizado. Puede considerar la posibilidad de rotar primero el secreto antes de revocarlo. Para obtener más información, vea «Eliminación de datos confidenciales de un repositorio».

Notas:

  • Si su configuración de Git admite inserciones en varias ramas y no solo en la actual, es posible que se bloquee la inserción debido a que se insertan referencias adicionales y no deseadas. Para obtener más información, consulta las opciones push.default en la documentación de Git.
  • Si se agota el tiempo de espera de secret scanning tras una inserción, GitHub todavía examinará las confirmaciones en busca de secretos después de la inserción.

En algunos casos, es posible que tenga que omitir el bloque en un secreto. Para obtener más información sobre cómo omitir la protección de inserción e insertar un secreto bloqueado, consulte "Omisión de la protección de inserción al trabajar con la línea de comandos".

Omitir la protección de inserción al trabajar con la línea de comandos

Si GitHub bloquea un secreto que cree que es seguro insertar, puede omitir el bloque especificando un motivo para permitir que se inserte el secreto.

Cuando permites la inserción de un secreto, se crea una alerta en la pestaña Seguridad. GitHub cierra la alerta y no envía una notificación si especificas que el secreto es un falso positivo o que solo se usa en las pruebas. Si especificas que el secreto es real y lo corregirás más adelante, GitHub mantiene abierta la alerta de seguridad y envía notificaciones al creador de la confirmación, así como a los administradores del repositorio. Para obtener más información, vea «Administración de alertas del examen de secretos».

Cuando un colaborador omite un bloque de protección de inserción para un secreto, GitHub también envía una alerta por correo electrónico a los propietarios de la organización, los administradores de seguridad y los administradores de repositorios que han optado por recibir notificaciones por correo electrónico.

  1. Visite la dirección URL devuelta por GitHub cuando se bloquee la inserción.

  2. Elija la opción que mejor describa por qué debería poder insertar el secreto.

    • Si el secreto solo se usa en pruebas y no supone ninguna amenaza, haga clic en Se usa en las pruebas.
    • Si la cadena detectada no es un secreto, haga clic en Es un falso positivo.
    • Si el secreto es real, pero piensa corregirlo más adelante, haga clic en Lo corregiré más adelante.
  3. Haga clic en Permitirme insertar este secreto.

  4. Vuelva a intentar la inserción en la línea de comandos en un plazo de tres horas. Si no ha realizado la inserción en un plazo de tres horas, tendrá que repetir este proceso.

Utilizar la protección de inserción de la UI web

Cuando se usa la interfaz de usuario web para intentar confirmar un secreto admitido en un repositorio asegurado mediante la protección de inserción GitHub bloqueará la confirmación.

Verás un cuadro de diálogo con información sobre la ubicación del secreto, así como opciones que te permiten insertarlo. El secreto también estará subrayado en el archivo para que puedas encontrarlo fácilmente.

Si tiene una confirmación bloqueada, puede eliminar el secreto del archivo mediante la UI web. Una vez que quite el secreto, puede confirmar los cambios.

GitHub solo mostrará un secreto detectado a la vez en la interfaz de usuario web. Si ya se ha detectado un secreto determinado en el repositorio y ya existe una alerta, GitHub no bloqueará ese secreto.

Los propietarios de la organización pueden proporcionar un vínculo personalizado que se mostrará cuando se bloquee un envío de cambios. Este vínculo personalizado puede incluir recursos y consejos específicos de tu organización. Por ejemplo, el vínculo personalizado puede apuntar a un archivo Léame con información sobre el almacén de secretos de la organización, a qué equipos y personas se deben escalar las preguntas, o a la directiva aprobada de la organización para trabajar con secretos y reescribir el historial de confirmaciones.

Puede omitir el bloque especificando un motivo para permitir el secreto. Para obtener más información sobre cómo omitir la protección de inserción y confirmar el secreto bloqueado, consulte "Omisión de la protección de inserción al trabajar con la interfaz de usuario web".

Omitir la protección de inserción al trabajar con la UI web

Si confirmas que un secreto es real, debes quitar el secreto de la rama, de todas las confirmaciones en las que aparece, antes de volver a insertar. Para más información sobre cómo corregir secretos bloqueados, consulta "Inserción de una rama bloqueada por la protección de inserción".

Si confirma que un secreto es real y que pretende corregirlo más adelante, debe intentar corregirlo lo antes posible. Para obtener más información, vea «Eliminación de datos confidenciales de un repositorio».

Si GitHub bloquea un secreto que cree que es seguro confirmar, puede omitir el bloque especificando un motivo para permitir el secreto.

Cuando permites la inserción de un secreto, se crea una alerta en la pestaña Seguridad. GitHub cierra la alerta y no envía una notificación si especificas que el secreto es un falso positivo o que solo se usa en las pruebas. Si especificas que el secreto es real y lo corregirás más adelante, GitHub mantiene abierta la alerta de seguridad y envía notificaciones al creador de la confirmación, así como a los administradores del repositorio. Para obtener más información, vea «Administración de alertas del examen de secretos».

Cuando un colaborador omite un bloque de protección de inserción para un secreto, GitHub también envía una alerta por correo electrónico a los propietarios de la organización, los administradores de seguridad y los administradores de repositorios que han optado por recibir notificaciones por correo electrónico.

  1. En el cuadro de diálogo que ha aparecido cuando GitHub ha bloqueado la confirmación, revisa el nombre y la ubicación del secreto.

  2. Elija la opción que mejor describa por qué debería poder insertar el secreto.

    • Si el secreto solo se usa en pruebas y no supone ninguna amenaza, haga clic en Se usa en las pruebas.
    • Si la cadena detectada no es un secreto, haga clic en Es un falso positivo.
    • Si el secreto es real, pero piensa corregirlo más adelante, haga clic en Lo corregiré más adelante.
  3. Haz clic en Permitir secreto.

Información adicional