Nota: El administrador del sitio debe habilitar secret scanning para tu instancia de GitHub Enterprise Server para que puedas utilizar esta característica. Para obtener más información, vea «Configurar el escaneo de secretos para tu aplicativo».
Es posible que no puedas habilitar o deshabilitar secret scanning si un propietario de empresa ha establecido una directiva GitHub Advanced Security (GHAS) en el nivel empresarial. Para obtener más información, vea «Aplicación de directivas de seguridad y análisis de código de la empresa».
Acerca de secret scanning
Si tu proyecto se comunica con un servicio externo, puedes utilizar un token o llave privada para autenticación. Los tokens y llaves privadas son ejemplos de secretos que puede emitir un proveedor de servicios. Si registras un secreto en un repositorio, cualquiera que tenga acceso de lectura al mismo puede utilizarlo para acceder al servicio externo con tus privilegios. Te recomendamos que almacenes los secretos en una ubicación dedicada y segura fuera del repositorio de tu proyecto.
Secret scanning examinará todo el historial de Git en todas las ramas presentes en el repositorio de GitHub para buscar secretos, incluso si el repositorio está archivado. Secret scanning no examina incidencias.
Puedes auditar las acciones realizadas en respuesta a las alertas de secret scanning mediante las herramientas de GitHub. Para obtener más información, vea «Auditoría de alertas de seguridad».
También puede habilitar secret scanning como protección de inserción para un repositorio o una organización. Al habilitar esta característica, secret scanning impide que los colaboradores inserten código con un secreto detectado. Para continuar, los colaboradores deben quitar los secretos de la inserción o, si es necesario, omitir la protección. Los administradores también pueden especificar un vínculo personalizado que se muestra al colaborador cuando se bloquea una inserción; el vínculo puede incluir recursos específicos de la organización para ayudar a los colaboradores. Para obtener más información, consulta "Protección contra el envío de cambios para repositorios y organizaciones".
Nota: Al bifurcar un repositorio con secret scanning como protección de inserción habilitada, estas características no están habilitadas de forma predeterminada en la bifurcación. Puede habilitar secret scanning o la protección de inserción en la bifurcación de la misma manera que las habilite en un repositorio independiente.
Acerca de examen de secretos en GitHub Enterprise Server
El examen de secretos está disponible en todos los repositorios propiedad de la organización como parte de GitHub Advanced Security. La característica no está disponible en repositorios propiedad del usuario. Al habilitar secret scanning para un repositorio, GitHub examina el código de los patrones que coinciden con los secretos usados por muchos proveedores de servicios.
Cuando se filtra un secreto admitido, GitHub Enterprise Server genera una alerta de secret scanning. Para más información, consulta los patrones de "Secret scanning".
Si eres administrador del repositorio, puede habilitar examen de secretos para cualquier repositorio , incluidos los repositorios archivados. Los propietarios de la organización también pueden habilitar examen de secretos para todos los repositorios o para todos los repositorios dentro de una organización. Para obtener más información, vea «Administración de la configuración de seguridad y análisis para el repositorio» y «Administrar la configuración de seguridad y análisis de su organización».
También puedes definir patrones personalizados de secret scanning para un repositorio, organización o empresa. Para obtener más información, consulta: "Definición de patrones personalizados para el examen de secretos"."
Acceso a alertas de examen de secretos
Cuando el secret scanning se habilita en un repositorio o se insertan confirmaciones en un repositorio con secret scanning habilitado, GitHub examina el contenido en busca de secretos que coincidan con los patrones definidos por proveedores de servicios y con cualquier patrón personalizado en la empresa, organización o repositorio.
Si secret scanning detecta un secreto en una confirmación, la descripción del problema GitHub genera una alerta.
- GitHub envía una alerta por correo electrónico a los administradores del repositorio y a los propietarios de la organización. Recibirás una alerta si estás viendo el repositorio y si has habilitado notificaciones para las alertas de seguridad o para toda la actividad en el repositorio .
- Si la persona que introdujo el secreto en la confirmación no ignora el repositorio, GitHub también le enviará una alerta por correo electrónico. Los correos electrónicos contienen un vínculo a la alerta de secret scanning relacionada. La persona que introdujo el secreto puede entonces ver la alerta en el repositorio y resolverla.
- GitHub muestra una alerta en la pestaña Seguridad del repositorio.
Para obtener más información sobre el visionado y la resolución de alertas de examen de secretos, consulta "Administración de alertas del examen de secretos".
Los administradores de repositorio y propietarios de las organizaciones pueden otorgar a los usuarios y equipos acceso a alertas de examen de secretos. Para obtener más información, vea «Administración de la configuración de seguridad y análisis para el repositorio».
Puede usar la información general sobre seguridad para obtener una vista de nivel de la organización de los repositorios en los que secret scanning se ha habilitado y las alertas detectadas. Para obtener más información, vea «Información general sobre seguridad».
También puedes usar la API REST para supervisar los resultados de secret scanning de todos los repositorios o de tu organización. Para obtener más información sobre los puntos de conexión de API, consulta "Análisis de secretos".