Cuando secret scanning detecta una posible pérdida de secretos en el repositorio, mantenerse informado sobre estas alertas es fundamental para mantener la seguridad del código. GitHub proporciona varios canales de notificación para asegurarse de que usted y el equipo reciben alertas rápidamente cuando se encuentran secretos. Puede personalizar cómo y cuándo recibe estas notificaciones en función de su rol y preferencias.
También puede auditar las respuestas a secret scanning las alertas para realizar un seguimiento de cómo administra el equipo los problemas de seguridad y mantener el cumplimiento de las directivas de seguridad de la organización.
Configuración de notificaciones para alertas de detección de secretos
Además de mostrar una alerta en la Security and quality pestaña del repositorio, GitHub también puede enviar notificaciones por correo electrónico para las alertas. Las notificaciones son distintas para los análisis incrementales e históricos.
Exámenes incrementales
Cuando se detecta un secreto nuevo, GitHub notifica a todos los usuarios con acceso a las alertas de seguridad del repositorio de acuerdo con sus preferencias de notificación. Entre estos usuarios se incluyen:
- Administradores del repositorio
- Administradores de seguridad
- Usuarios con roles personalizados y acceso de lectura y escritura
- Propietarios de la organización y propietarios de empresa, si son administradores de repositorios en los que se han filtrado secretos
Nota:
Se notificará a los autores de confirmación que hayan confirmado accidentalmente secretos, independientemente de sus preferencias de notificación.
Recibirás una notificación por correo electrónico si:
- Estás viendo el repositorio.
- Ha habilitado notificaciones para "Toda la actividad", o para "Alertas de seguridad" personalizadas en el repositorio.
- En la configuración de notificaciones, en "Suscripciones" y en "Ver", has seleccionado recibir notificaciones por correo electrónico.
Además, recibirá una notificación si alguien le asigna un code scanning o una alerta secret scanning, ver Asignación de alertas.
-
En GitHub, navegue hasta la página principal del repositorio.
-
Para comenzar a seguir el repositorio, seleccione Vigilar.
-
En el menú desplegable, haz clic en Toda la actividad. Como alternativa, para suscribirte solo a alertas de seguridad, haz clic en Personalizar y, a continuación, en Alertas de seguridad.
-
Ve a la configuración de notificación de tu cuenta personal. Está disponible en https://github.com/settings/notifications.
-
En la página de configuración de notificaciones, en "Suscripciones", después en "Ver", selecciona el desplegable Notificarme.
-
Selecciona "Correo electrónico" como opción de notificación y, a continuación, haz clic en Guardar.
Para obtener más información sobre la configuración de preferencias de notificación, consulta Administración de la configuración de seguridad y análisis para el repositorio y Configurar los ajustes de observación para un repositorio individual.
Exámenes históricos
Para los escaneos históricos, GitHub notifica a los siguientes usuarios:
-
Propietarios de la organización, propietarios de empresas y administradores de seguridad, siempre que se complete un examen histórico, aunque no se encuentren secretos.
-
Administradores de repositorios, administradores de seguridad y usuarios con roles personalizados con acceso de lectura y escritura, siempre que un examen histórico detecte un secreto y en función de sus preferencias de notificación.
_No_ se notifica a los autores de las confirmaciones.
Para obtener más información sobre la configuración de preferencias de notificación, consulta Administración de la configuración de seguridad y análisis para el repositorio y Configurar los ajustes de observación para un repositorio individual.
Auditoría de respuestas a alertas de análisis de secretos
Puedes auditar las acciones realizadas en respuesta a las alertas de secret scanning mediante las herramientas de GitHub. Para más información, consulta Auditoría de alertas de seguridad.