Detección responsable de secretos genéricos con el análisis de secretos de Copilot

Obtenga información sobre cómo Escaneo secreto de Copilot usa la inteligencia artificial de forma responsable para examinar y crear alertas de secretos no estructurados, como contraseñas.

¿Quién puede utilizar esta característica?

Escaneo secreto de Copilot está disponible para los siguientes tipos de repositorio:

En este artículo

Acerca de detección de secretos genéricos con Escaneo secreto de Copilot

          Escaneo secreto de Copilot's detección de secretos genéricos es una expansión con tecnología de inteligencia artificial de secret scanning que identifica secretos no estructurados (contraseñas) en el código fuente y, a continuación, genera una alerta.

Nota:

No necesita una suscripción a GitHub Copilot para usar la detección de secretos genéricos del Escaneo secreto de Copilot. Las características de Escaneo secreto de Copilot están disponibles para repositorios propiedad de organizaciones y empresas que tienen una licencia para GitHub Secret Protection.

          GitHub Secret Protection Los usuarios ya pueden recibir alertas de detección de secretos para patrones de socios o personalizados detectados en su código fuente, pero los secretos no estructurados no son fácilmente detectables. 
          Escaneo secreto de Copilot usa modelos de lenguaje grandes (LLM) para identificar este tipo de secreto.

Cuando se detecta una contraseña, se muestra una alerta en la lista "Genérica" de secret scanning alertas (en la Security and quality pestaña del repositorio, la organización o la empresa), de modo que los mantenedores y administradores de seguridad puedan revisar la alerta y, cuando sea necesario, quitar la credencial o implementar una corrección.

          Para los usuarios con GitHub Enterprise Cloud, un propietario de la empresa primero debe establecer una directiva en el nivel empresarial que controle si detección de secretos genéricos se puede habilitar y deshabilitar para repositorios de una organización. De manera predeterminada, esta directiva se configura en "permitida". La característica debe estar habilitada para repositorios y organizaciones.

Procesamiento de entradas

La entrada se limita al texto (normalmente código) que un usuario ingresa en un repositorio. El sistema proporciona este texto al LLM junto con un meta prompt que pide al LLM que encuentre contraseñas dentro del ámbito de la entrada. El usuario no interactúa directamente con el LLM.

El sistema busca contraseñas mediante el LLM. El sistema no recopila datos adicionales, excepto lo que ya recopila la característica existente secret scanning .

Salida y visualización

El LLM busca cadenas que se parezcan a contraseñas y verifica que las cadenas identificadas incluidas en la respuesta existan realmente en la entrada.

Estas cadenas detectadas se muestran como alertas en la secret scanning página de alertas, pero aparecen en una lista adicional que es independiente de la lista regular de alertas de detección de secretos. La intención es que esta lista separada se revise con mayor detalle para verificar la validez de los resultados. Cada alerta indica que se detectó mediante IA. Para obtener información sobre cómo ver alertas de secretos genéricos, consulte Visualización y filtrado de alertas del análisis de secretos.

Mejora del rendimiento de detección de secretos genéricos

Para mejorar el rendimiento de detección de secretos genéricos, se recomienda cerrar las alertas de falsos positivos adecuadamente.

Verificar la precisión de las alertas y cerrarlas según proceda

Dado que Escaneo secreto de Copilot puede generar más falsos positivos que la función existente secret scanning para patrones de asociados, es importante revisar la precisión de estas alertas. Cuando compruebe que una alerta sea un falso positivo, asegúrese de cerrar la alerta y marcar el motivo como "Falso positivo" en la GitHub interfaz de usuario. El GitHub equipo de desarrollo usará información sobre el volumen y las ubicaciones de detección de falsos positivos para mejorar el modelo. GitHub no tiene acceso a los propios literales secretos.

Limitaciones de detección de secretos genéricos

Al usar Escaneo secreto de Copilot' s detección de secretos genéricos, debe tener en cuenta las siguientes limitaciones.

Ámbito limitado

          Detección de secretos genéricos actualmente solo busca instancias de contraseñas en el contenido de Git. La característica no busca otros tipos de secretos genéricos y no busca secretos en contenido que no sea git, como GitHub Issues.

Posibilidad de falsas alertas positivas

          Detección de secretos genéricos puede generar más alertas falsos positivos en comparación con la función existente secret scanning (que detecta patrones de socios y que tiene una tasa de falsos positivos muy baja). Para mitigar este exceso de ruido, las alertas se agrupan en una lista separada de las alertas de patrones de socios, y los administradores de seguridad y mantenedores deben evaluar cada alerta para verificar su exactitud.

Posibilidad de informes incompletos

          Detección de secretos genéricos puede perder instancias de credenciales activadas en un repositorio. El LLM mejorará con el tiempo. Eres el único responsable de garantizar la seguridad de tu código.

Limitaciones por diseño

          Detección de secretos genéricos tiene las siguientes limitaciones por diseño:

* Escaneo secreto de Copilot no detectará secretos que obviamente son contraseñas falsas o de prueba, o contraseñas con una entropía baja. * Escaneo secreto de Copilot solo detectará un máximo de 100 contraseñas por envío.

  • Si cinco o más secretos detectados dentro de un único archivo se marcan como falsos positivos, Escaneo secreto de Copilot dejará de generar nuevas alertas para ese archivo.
  •         Escaneo secreto de Copilot no detecta secretos en archivos generados o archivos externos.

  •         Escaneo secreto de Copilot no detecta secretos en archivos cifrados.

  •         Escaneo secreto de Copilot no detecta secretos en tipos de archivo: SVG, PNG, JPEG, CSV, TXT, SQL o ITEM.

  •         Escaneo secreto de Copilot no detecta secretos en el código de prueba. 
        Escaneo secreto de Copilot omite las detecciones cuando se cumplen ambas condiciones:
    • La ruta de acceso del archivo contiene "test", "mock" o "spec", Y
    • La extensión del archivo es .cs, .go, .java, .js, .kt, .php, .py, .rb, .scala, .swift o .ts.

Evaluación de detección de secretos genéricos

          Detección de secretos genéricos ha sido objeto de red teaming de IA responsable y GitHub seguirá supervisando la eficacia y la seguridad de la funcionalidad de forma continua.

Pasos siguientes

  •         [AUTOTITLE](/code-security/secret-scanning/copilot-secret-scanning/enabling-ai-powered-generic-secret-detection)

  •         [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning)

Lectura adicional

  •         [AUTOTITLE](/code-security/secret-scanning/introduction/about-secret-scanning)