Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Acerca del escaneo de secretos

GitHub escanea repositorios para encontrar tipos conocidos de secretos para prevenir el uso fraudulento de aquellos que se confirmaron por accidente.

En este artículo

Si tu proyecto se comunica con un servicio externo, puedes utilizar un token o llave privada para autenticación. Los tokens y llaves privadas son ejemplos de secretos que puede emitir un proveedor de servicios. Si registras un secreto en un repositorio, cualquiera que tenga acceso de lectura al mismo puede utilizarlo para acceder al servicio externo con tus privilegios. Te recomendamos que almacenes los secretos en una ubicación dedicada y segura fuera del repositorio de tu proyecto.

Si alguien registra un secreto de un socio de GitHub en un repositorio público o privado, secret scanning puede detectarlo y ayudarte a mitigar el impacto de esta fuga.

Los proveedores de servicio pueden asociarse con GitHub para proporcionar sus formatos de secreto para el escaneo de los mismos. Para obtener más información, consulta "Escaneo de secretos."

Acerca de secret scanning para repositorios públicos

Cuando subes información a un repositorio público, GitHub escanea el contenido de las confirmaciones para los secretos. Si cambias un repositorio de privado a público, GitHub escanea todo el repositorio en busca de secretos.

Cuando secret scanning detecta un conjunto de credenciales, notificamos al proveedor del servicio que emitió el secreto. El proveedor del servicio valida la credencial y luego decide si debería retirar el secreto, emitir uno nuevo, o contactarte directamente, lo cual dependerá de los riesgos asociados a ti o a dicho proveedor.

Actualmente, GitHub escanea los repositorios públicos en busca de secretos emitidos por los siguientes proveedores de servicios.

  • Adafruit
  • Alibaba Cloud
  • Amazon Web Services (AWS)
  • Atlassian
  • Azure
  • CloudBees CodeShip
  • Databricks
  • Datadog
  • Discord
  • Dropbox
  • Dynatrace
  • Frame.io
  • GitHub
  • GoCardless
  • Google Cloud
  • Hashicorp Terraform
  • Hubspot
  • Mailgun
  • MessageBird
  • npm
  • NuGet
  • Palantir
  • Postman
  • Proctorio
  • Pulumi
  • Samsara
  • Shopify
  • Slack
  • SSLMate
  • Stripe
  • Tencent Cloud
  • Twilio

Acerca de secret scanning para repositorios privados

Nota: Las Escaneo de secretos para los repositorios privados se encuentran actualmente en beta y están sujetas a cambios. Para solicitar acceso al beta,, únete a la lista de espera.

Cuando subes confirmaciones en un repositorio privado que tiene habilitado secret scanning, GitHub escanea el contenido de las confirmaciones en busca de secretos.

Cuando secret scanning detecta un secreto en un repositorio privado, GitHub envía alertas.

  • GitHub envía una alerta por correo electrónico a los administradores del repositorio y a los propietarios de la organización. Si el secreto es un token de acceso personal de GitHub, enviamos la alerta por correo electrónico directamente al propietario del token.

  • GitHub muestra una alerta en el repositorio. Para obtener más información, consulta la sección "Administrar alertas de secret scanning".

Actualmente, GitHub escanea los repositorios privados en busca de secretos emitidos por los siguientes proveedores de servicios.

  • Adafruit
  • Alibaba Cloud
  • Amazon Web Services (AWS)
  • Atlassian
  • Azure
  • CloudBees CodeShip
  • Databricks
  • Discord
  • Dropbox
  • Dynatrace
  • Frame.io
  • GitHub
  • GoCardless
  • Google Cloud
  • Hashicorp Terraform
  • Hubspot
  • Mailgun
  • npm
  • NuGet
  • Palantir
  • Postman
  • Proctorio
  • Pulumi
  • Samsara
  • Shopify
  • Slack
  • SSLMate
  • Stripe
  • Tencent Cloud
  • Twilio

Nota:Escaneo de secretos no permite actualmente que definas tus propios parámetros para detectar secretos.

Leer más

Pregunta a una persona

¿No puedes encontrar lo que estás buscando?

Contáctanos