Skip to main content
Publicamos actualizaciones para la documentación con frecuencia y es posible que aún se esté traduciendo esta página. Para obtener la información más reciente, consulta la documentación en inglés.

Esta versión de GitHub Enterprise se discontinuó el 2023-03-15. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener rendimiento mejorado, seguridad mejorada y nuevas características, actualice a la versión más reciente de GitHub Enterprise. Para obtener ayuda con la actualización, póngase en contacto con el soporte técnico de GitHub Enterprise.

Patrones de análisis de secretos

Listas de los secretos admitidos y los asociados con los que trabaja GitHub para evitar el uso fraudulento de secretos que se confirmaron por accidente.

Secret scanning está disponible para repositorios que son propiedad de una organización en GitHub Enterprise Server si la empresa tiene una licencia de GitHub Advanced Security. Para más información, consulta "Acerca del examen de secretos" y "Acerca de GitHub Advanced Security".

Nota: El administrador del sitio debe habilitar secret scanning para tu instancia de GitHub Enterprise Server para que puedas utilizar esta característica. Para obtener más información, vea «Configurar el escaneo de secretos para tu aplicativo».

Acerca de las alertas usuario secret scanning

Cuando examen de secretos is habilitados, GitHub examina los repositorios para ver si hay secretos emitidos por una gran variedad de proveedores de servicios y genera alertas de examen de secretos.

Puedes ver estas alertas en la pestaña Seguridad del repositorio.

Si el acceso a un recurso requiere credenciales emparejadas, la exploración de secretos creará una alerta solo cuando se detecten las dos partes del par en el mismo archivo. Esto garantiza que las fugas más críticas no queden ocultas detrás de la información sobre fugas parciales. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par deben usarse juntos para acceder al recurso del proveedor.

Si usas la API REST para el examen de secretos, puedes usar Secret type para informar sobre secretos de emisores específicos. Para obtener más información, vea «Análisis de secretos».

Nota: También puede definir patrones personalizados de secret scanning para el repositorio, la organización o la empresa. Para obtener más información, vea «Definición de patrones personalizados para el examen de secretos».

Secretos admitidos

En esta tabla se enumeran los secretos admitidos por secret scanning. Puedes ver los tipos de alerta que se generan para cada token.

  • Proveedor: nombre del proveedor de tokens.
  • Alerta Secret scanning : token para el que se notifican fugas a los usuarios en GitHub. Se aplica a los repositorios privados en que GitHub Advanced Security y secret scanning enabled.
ProveedorTokenSecret scanning alert
Adobeadobe_device_token
Adobeadobe_jwt
Adobeadobe_service_token
Adobeadobe_short_lived_access_token
Atlassianatlassian_api_token
Atlassianatlassian_jwt
Azureazure_sas_token
Azureazure_management_certificate
Azureazure_sql_connection_string
Beamerbeamer_api_key
Checkout.comcheckout_test_secret_key
CloudBees CodeShipcodeship_credential
Contentfulcontentful_personal_access_token
Dropboxdropbox_access_token
Duffelduffel_test_access_token
Dynatracedynatrace_access_token
Dynatracedynatrace_internal_token
EasyPosteasypost_test_api_key
Fastlyfastly_api_token
Finicityfinicity_app_key
Flutterwaveflutterwave_test_api_secret_key
Frame.ioframeio_developer_token
Frame.ioframeio_jwt
GitLabgitlab_access_token
GoCardlessgocardless_live_access_token
GoCardlessgocardless_sandbox_access_token
Googlefirebase_cloud_messaging_server_key
Googlegoogle_oauth_access_token
Googlegoogle_oauth_refresh_token
Google Cloudgoogle_api_key
HashiCorphashicorp_vault_batch_token
HashiCorphashicorp_vault_service_token
Hashicorp Terraformterraform_api_token
Loblob_live_api_key
Loblob_test_api_key
Mailchimpmailchimp_api_key
Mailgunmailgun_api_key
Mapboxmapbox_secret_access_token
MessageBirdmessagebird_api_key
Metafacebook_access_token
Midtransmidtrans_sandbox_server_key
New Relicnew_relic_license_key
Notionnotion_integration_token
Notionnotion_oauth_client_secret
Octopus Deployoctopus_deploy_api_key
Onfidoonfido_sandbox_api_token
Palantirpalantir_jwt
Plivoplivo_auth_id
plivo_auth_token
Proctorioproctorio_consumer_key
Proctorioproctorio_linkage_key
Proctorioproctorio_registration_key
Pulumipulumi_access_token
PyPIpypi_api_token
RubyGemsrubygems_api_key
Shipposhippo_test_api_token
Shopifyshopify_custom_app_access_token
Shopifyshopify_private_app_password
Slackslack_incoming_webhook_url
Slackslack_workflow_webhook_url
Squaresquare_access_token
Squaresquare_production_application_secret
Squaresquare_sandbox_application_secret
SSLMatesslmate_api_key
SSLMatesslmate_cluster_secret
Stripestripe_live_restricted_key
Stripestripe_api_key
Stripestripe_test_restricted_key
Stripestripe_test_secret_key
Stripestripe_webhook_signing_secret
Supabasesupabase_service_key
Tableautableau_personal_access_token
Telegramtelegram_bot_token
Twiliotwilio_access_token
Twiliotwilio_account_sid
Twiliotwilio_api_key
Yandexyandex_cloud_api_key
Yandexyandex_cloud_iam_cookie
Yandexyandex_cloud_iam_token
Yandexyandex_dictionary_api_key
Yandexyandex_predictor_api_key
Yandexyandex_translate_api_key

Información adicional