GitHub AE es una versión limitada en este momento.

Protección contra el envío de cambios para repositorios y organizaciones

En este artículo

Puedes usar el secret scanning para evitar que los secretos admitidos se inserten en la organización o el repositorio, habilitando para ello la protección de inserción.

Secret scanning está disponible para repositorios que son propiedad de una organización en GitHub AE. Esta es una característica de la GitHub Advanced Security (gratuita durante el lanzamiento beta).

Información sobre la protección contra el envío de cambios para repositorios y organizaciones

Hasta ahora, secret scanning comprueba si hay secretos después de una inserción y alerta a los usuarios de los secretos expuestos. Al habilitar la protección de inserción para la organización o el repositorio, secret scanning también comprueba si hay secretos de alta confianza (los identificados con una tasa de falsos positivos baja). Secret scanning enumera los secretos que detecta para que el creador pueda revisarlos y quitarlos, o si es necesario, permitir que se inserten.

Si un colaborador omite un bloque de protección de inserción para un secreto, GitHub:

  • crea una alerta en la pestaña Seguridad del repositorio en el estado descrito en la tabla siguiente.
  • agrega el evento de omisión al registro de auditoría.

Puedes supervisar las alertas de seguridad para detectar cuándo los usuarios pasan por alto las protecciones de inserción y crean alertas. Para obtener más información, vea «Auditoría de alertas de seguridad».

En esta tabla se muestra el comportamiento de las alertas para cada forma en que un usuario puede omitir un bloque de protección de inserción.

Razón de la omisiónComportamiento de alerta
Se usa en pruebasGitHub crea una alerta cerrada, resuelta como "se usa en pruebas"
Es un falso positivoGitHub crea una alerta cerrada, resuelta como "falso positivo"
Lo arreglaré más tardeGitHub crea una alerta abierta

Para más información sobre los secretos y los proveedores de servicios admitidos para la protección de inserción, consulta "Patrones de análisis de secretos".

Habilitación de secret scanning como protección de inserción

Para poder usar secret scanning como protección de inserción en repositorios públicos, la organización o el repositorio debe tener secret scanning habilitado. Para obtener más información, consulta "Administrar la configuración de seguridad y análisis de su organización", "Administración de la configuración de seguridad y análisis para el repositorio" y "Acerca de GitHub Advanced Security".

Los propietarios de la organización, los administradores de seguridad y los administradores del repositorio pueden habilitar también la protección de secret scanning mediante la API. Para más información, consulta "Repositorios" y expande la sección "Propiedades del objeto security_and_analysis" en la documentación de la API REST.

Nota: Al bifurcar un repositorio con secret scanning como protección de inserción habilitada, esto no está habilitado de forma predeterminada en la bifurcación. Puede habilitarlo en la bifurcación de la misma manera que lo habilite en un repositorio independiente.

Habilitación de secret scanning como protección de inserción para una organización

Puedes usar la página de configuración de la organización de "Seguridad y análisis del código" para habilitar o deshabilitar secret scanning como protección frente a inserciones en todos los repositorios existentes en una organización.

  1. En tu empresa, ve a la página principal de la organización.

  2. En el nombre de la organización, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de las pestañas en el perfil de una organización. La pestaña "Configuración" se destaca en naranja oscuro.

  3. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

  4. Debajo de "Seguridad y análisis de código", encuentra "GitHub Advanced Security".

  5. En "Secret scanning", en "Push protection" (Protección de inserciones), haga clic en Enable all (Habilitar todo).

  6. Opcionalmente, haz clic en "Habilitar automáticamente para repositorios agregados a secret scanning."

Para más información sobre cómo habilitar las características de seguridad en una organización, consulta "Protección de la organización".

Habilitación de secret scanning como protección de inserción para un repositorio

  1. En tu empresa, navega a la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

  4. Debajo de "Seguridad y análisis de código", encuentra "GitHub Advanced Security".

  5. En "Secret scanning", en "Push protection" (Protección de inserciones), haga clic en Enable (Habilitar). Captura de pantalla en la que se muestra cómo habilitar la protección de inserciones para secret scanning para un repositorio.

Uso del examen de secretos como protección de inserción de la línea de comandos

Al intentar insertar un secreto admitido en un repositorio u organización con secret scanning como protección de inserción habilitada, GitHub bloqueará la inserción. Puedes quitar el secreto de la rama o seguir una dirección URL proporcionada para permitir la inserción.

En la línea de comandos se mostrarán hasta cinco secretos detectados a la vez. Si ya se ha detectado un secreto determinado en el repositorio y ya existe una alerta, GitHub no bloqueará ese secreto.

Si confirmas que un secreto es real, debes quitar el secreto de la rama, de todas las confirmaciones en las que aparece, antes de volver a insertar. Para más información sobre cómo corregir secretos bloqueados, consulta "Inserción de una rama bloqueada por la protección de inserción".

Si confirma que un secreto es real y que pretende corregirlo más adelante, debe intentar corregirlo lo antes posible. Por ejemplo, podría revocar el secreto y quitarlo del historial de confirmaciones del repositorio. Los secretos reales que se han expuesto deben revocarse para evitar el acceso no autorizado. Puedes considerar la posibilidad de rotar primero el secreto antes de revocarlo. Para obtener más información, vea «Eliminación de datos confidenciales de un repositorio».

Notas:

  • Si la configuración de Git admite inserciones en varias ramas y no solo en la actual, es posible que se bloquee la inserción debido a que se insertan referencias adicionales y no deseadas. Para obtener más información, consulta las opciones push.default en la documentación de Git.
  • Si se agota el tiempo de espera de secret scanning tras una inserción, GitHub todavía examinará las confirmaciones en busca de secretos después de la inserción.

Permiso para insertar un secreto bloqueado

Si GitHub bloquea un secreto que cree que es seguro insertar, puede permitirlo y especificar el motivo por el que se debe permitir.

Cuando permites la inserción de un secreto, se crea una alerta en la pestaña Seguridad. GitHub cierra la alerta y no envía una notificación si especificas que el secreto es un falso positivo o que solo se usa en las pruebas. Si especificas que el secreto es real y lo corregirás más adelante, GitHub mantiene abierta la alerta de seguridad y envía notificaciones al creador de la confirmación, así como a los administradores del repositorio. Para obtener más información, vea «Administración de alertas del examen de secretos».

  1. Visite la dirección URL devuelta por GitHub cuando se bloquee la inserción.
  2. Elija la opción que mejor describa por qué debería poder insertar el secreto.
    • Si el secreto solo se usa en pruebas y no supone ninguna amenaza, haga clic en Se usa en las pruebas.
    • Si la cadena detectada no es un secreto, haga clic en Es un falso positivo.
    • Si el secreto es real, pero piensa corregirlo más adelante, haga clic en Lo corregiré más adelante.
  3. Haga clic en Permitirme insertar este secreto.
  4. Vuelva a intentar la inserción en la línea de comandos en un plazo de tres horas. Si no ha realizado la inserción en un plazo de tres horas, tendrá que repetir este proceso.

Uso del examen de secretos como protección de inserción de la interfaz de usuario web

Cuando se usa la interfaz de usuario web para intentar confirmar un secreto admitido en un repositorio u organización con el examen de secretos como protección de inserción habilitada, GitHub bloqueará la confirmación.

Verás un cuadro de diálogo con información sobre la ubicación del secreto, así como opciones que te permiten insertarlo. El secreto también estará subrayado en el archivo para que puedas encontrarlo fácilmente.

GitHub solo mostrará un secreto detectado a la vez en la interfaz de usuario web. Si ya se ha detectado un secreto determinado en el repositorio y ya existe una alerta, GitHub no bloqueará ese secreto.

Puedes quitar el secreto del archivo mediante la interfaz de usuario web. Una vez que quites el secreto, puedes confirmar los cambios.

Omitir la protección de inserción para un secreto

Si confirmas que un secreto es real, debes quitar el secreto de la rama, de todas las confirmaciones en las que aparece, antes de volver a insertar. Para más información sobre cómo corregir secretos bloqueados, consulta "Inserción de una rama bloqueada por la protección de inserción".

Si confirma que un secreto es real y que pretende corregirlo más adelante, debe intentar corregirlo lo antes posible. Para obtener más información, vea «Eliminación de datos confidenciales de un repositorio».

Si GitHub bloquea un secreto que cree que es seguro insertar, puede permitirlo y especificar el motivo por el que se debe permitir.

Cuando permites la inserción de un secreto, se crea una alerta en la pestaña Seguridad. GitHub cierra la alerta y no envía una notificación si especificas que el secreto es un falso positivo o que solo se usa en las pruebas. Si especificas que el secreto es real y lo corregirás más adelante, GitHub mantiene abierta la alerta de seguridad y envía notificaciones al creador de la confirmación, así como a los administradores del repositorio. Para obtener más información, vea «Administración de alertas del examen de secretos».

  1. En el cuadro de diálogo que ha aparecido cuando GitHub ha bloqueado la confirmación, revisa el nombre y la ubicación del secreto.
  2. Elija la opción que mejor describa por qué debería poder insertar el secreto.
    • Si el secreto solo se usa en pruebas y no supone ninguna amenaza, haga clic en Se usa en las pruebas.
    • Si la cadena detectada no es un secreto, haga clic en Es un falso positivo.
    • Si el secreto es real, pero piensa corregirlo más adelante, haga clic en Lo corregiré más adelante.
  3. Haz clic en Permitir secreto.