Nota: El administrador del sitio debe habilitar secret scanning para tu instancia de GitHub Enterprise Server para que puedas utilizar esta característica. Para obtener más información, consulta "Configurar el escaneo de secretos para tu aplicativo".
Es posible que no puedas habilitar o deshabilitar secret scanning si un propietario de empresa ha establecido una directiva en el nivel empresarial. Para obtener más información, consulta "Aplicación de directivas de seguridad y análisis de código de la empresa".
Enabling examen de secretos
Puedes habilitar examen de secretos para cualquier repositorio repositorio que es propiedad de una organización. Una vez habilitado, El secret scanning escanea cualquier secreto en el total de tu historial de Git en todas las ramas presentes de tu repositorio de GitHub. Secret scanning no examina problemas.
También puedes habilitar secret scanning para varios repositorios de una organización al mismo tiempo. Para obtener más información, vea «Protección de la organización».
Nota: Si tu organización es propiedad de una cuenta de empresa, un propietario de la empresa también puede habilitar secret scanning en el nivel empresarial. Para obtener más información, vea «Administración de las características de GitHub Advanced Security para la empresa».
Un administrador del repositorio puede optar por deshabilitar secret scanning para un repositorio en cualquier momento. Para obtener más información, consulta “Administración de la configuración de seguridad y análisis para el repositorio”.
-
En tu instancia de GitHub Enterprise Server, navega a la página principal del repositorio.
-
En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.
-
En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.
-
Si Advanced Security todavía no está habilitado para el repositorio, a la derecha de "GitHub Advanced Security", haz clic en Habilitar.
-
Revisa el impacto de habilitar la Advanced Security y luego haz clic en Habilitar la GitHub Advanced Security para este repositorio.
-
Cuando habilitas la Advanced Security, puede que el secret scanning se habilite en el repositorio debido a la configuración de la organización. Si "Secret scanning" se muestra con un botón Habilitar, debes habilitar secret scanning haciendo clic en Habilitar. Si ves un botón Deshabilitar, secret scanning ya está habilitado.
Habilitar características adicionales para examen de secretos
Puede habilitar la siguiente característica adicional secret scanning a través de la configuración de "Seguridad y análisis de código" del repositorio:
- Protección contra el envío de cambios. Para obtener más información, vea "Protección contra el envío de cambios para repositorios y organizaciones".
Excluir directorios de examen de secretos
Puedes configurar un archivo secret_scanning.yml para excluir directorios de secret scanning, incluidos los casos en los que usas protección de inserción. Por ejemplo, puedes excluir directorios que contengan pruebas o contenido generado aleatoriamente.
-
En tu instancia de GitHub Enterprise Server, navega a la página principal del repositorio.
-
Encima de la lista de archivos, haga clic en Create new file (Crear archivo) mediante la lista desplegable Add file (Agregar archivo).
-
En el campo nombre de archivo, escribe .github/secret_scanning.yml.
-
En Editar nuevo archivo, escribe
paths-ignore:
seguido por las rutas de acceso que quieras excluir de secret scanning.paths-ignore: - "foo/bar/*.js"
Puede usar caracteres especiales, como
*
para filtrar las rutas. Para obtener más información sobre los patrones de filtro, consulta "Sintaxis de flujo de trabajo para Acciones de GitHub".Notas:
- Si hay más de 1000 entradas en
paths-ignore
, secret scanning solo excluirá los primeros 1000 directorios de los análisis. - Si
secret_scanning.yml
es mayor que 1 MB, secret scanning ignorará todo el archivo.
- Si hay más de 1000 entradas en
También puedes ignorar alertas individuales de secret scanning. Para obtener más información, consulta “Administración de alertas del examen de secretos”.