Acerca de las alertas de examen de secretos

Obtenga información sobre los distintos tipos de alertas de detección de secretos.

¿Quién puede utilizar esta característica?

Propietarios de repositorios, propietarios de organizaciones, administradores de seguridad y usuarios con el rol de administrador

Secret scanning está disponible para los tipos de repositorio siguientes:

  •         **Repositorios públicos**: Secret scanning se ejecuta automáticamente y sin coste.

  •         **Repositorios privados e internos de la organización**: disponibles con [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) habilitados en GitHub Team o GitHub Enterprise Cloud.

  •         **Repositorios propiedad del usuario**: disponibles en GitHub Enterprise Cloud con Enterprise Managed Users. Disponible en GitHub Enterprise Server cuando la empresa tiene [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) habilitado.

En este artículo

Acerca de los tipos de alertas

Hay dos tipos de alertas de detección de secretos:

  •         **
        Alertas de examen de secretos de usuario:** se notifica a los usuarios en la **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security** pestaña del repositorio, cuando se detecta un secreto admitido en el repositorio.

  •         **Alertas de protección de inserción:** Se notifica a los usuarios en la **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security** pestaña del repositorio, cuando un colaborador omite la protección de inserción.

Acerca de alertas de detección de secretos

          Cuando el secret scanning se habilita en un repositorio o se insertan confirmaciones en un repositorio con secret scanning habilitado, GitHub examina el contenido en busca de secretos que coincidan con los patrones definidos por proveedores de servicios y con cualquier patrón personalizado en la empresa, organización o repositorio.
          
          Cuando el secret scanning detecte un secreto, GitHub generará una alerta.
          GitHub muestra una alerta en la **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security** pestaña del repositorio.

Para ayudarle a evaluar las alertas de forma más eficaz, GitHub separa las alertas en dos listas:

  •         **Alertas predeterminadas**

  •         **Alertas genéricas**

Lista de alertas predeterminadas

La lista de alertas predeterminadas muestra alertas que se relacionan con los patrones admitidos y los patrones personalizados especificados. Esta es la vista principal de las alertas.

          Lista de alertas genéricas

La lista de alertas experimentalesmuestra alertas relacionadas con patrones que no son de proveedor (como claves privadas) Estos tipos de alertas pueden tener una tasa más alta de falsos positivos o secretos usados en las pruebas. Puede alternar a la lista de alertas genéricas desde la lista de alertas predeterminadas.

          GitHubseguirá liberando nuevos patrones y tipos de secretos en la lista de alertas experimentalesy los promoverá a la lista predeterminada cuando se complete la característica (es decir, cuando tengan un volumen adecuado bajo y una tasa de falsos positivos).

Además, las alertas que caen dentro de esta categoría:

  • Se limitan en cantidad a 5000 alertas por repositorio (esto incluye alertas abiertas y cerradas).
  • No se muestran en las vistas de resumen de información general de seguridad, solo en la vista "Secret scanning".
  • Solo se muestran las primeras cinco ubicaciones detectadas en GitHub para patrones que no son de proveedor, y solo la primera ubicación detectada para secretos genéricos identificados por IA.

Para GitHub buscar patrones que no son de proveedor y secretos genéricos, primero debe habilitar las características su repositorio u organización. Para obtener más información, consulte Habilitación del análisis de secretos para patrones que no son de proveedores.

Si el acceso a un recurso requiere credenciales emparejadas, la exploración de secretos creará una alerta solo cuando se detecten las dos partes del par en el mismo archivo. Esto garantiza que las fugas más críticas no queden ocultas detrás de la información sobre fugas parciales. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par deben usarse juntos para acceder al recurso del proveedor.

Acerca de las alertas de protección de inserción

La protección de inserción examina inserciones para los secretos admitidos. Si la protección de inserción detecta un secreto admitido, bloqueará la inserción. Cuando un colaborador omite la protección de inserción para insertar un secreto en el repositorio, se genera una alerta de protección de inserción y se muestra en la Security pestaña del repositorio. Para ver todas las alertas de protección de inserción de un repositorio, debe filtrar por bypassed: true en la página de alertas. Para más información, consulta Visualización y filtrado de alertas del análisis de secretos.

Si el acceso a un recurso requiere credenciales emparejadas, la exploración de secretos creará una alerta solo cuando se detecten las dos partes del par en el mismo archivo. Esto garantiza que las fugas más críticas no queden ocultas detrás de la información sobre fugas parciales. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par deben usarse juntos para acceder al recurso del proveedor.

Nota:

          Es posible que las versiones anteriores de ciertos tokens no sean compatibles con la protección de inserción, ya que estos tokens pueden generar un número mayor de falsos positivos que su versión más reciente. Es posible que la protección de inserción tampoco se aplique a los tokens heredados. En el caso de tokens como claves de Azure Storage, GitHub solo admite tokens _creados recientemente_, no tokens que coincidan con los patrones heredados. Para obtener más información sobre las limitaciones de protección de inserción, consulte [AUTOTITLE](/code-security/how-tos/secure-your-secrets/troubleshooting-secret-scanning#push-protection-and-pattern-versions).

Lectura adicional

  •         [AUTOTITLE](/code-security/reference/secret-security/supported-secret-scanning-patterns)

  •         [AUTOTITLE](/code-security/how-tos/secure-your-secrets/detect-secret-leaks/enabling-secret-scanning-for-non-provider-patterns)