Explorando la prueba empresarial de GitHub Secret Protection

Introducción a las características disponibles con GitHub Secret Protection en GitHub Enterprise Cloud para que pueda evaluar su adecuación a las necesidades de su empresa.

En este artículo

En esta guía se supone que ha planeado e iniciado una prueba de GitHub Advanced Security para una cuenta empresarial existente o de prueba GitHub . Consulta Planificación de una prueba de GitHub Advanced Security.

Introducción

          GitHub Secret Protection Las características funcionan de la misma manera en repositorios privados e internos que en todos los repositorios públicos. Este artículo se centra en la funcionalidad adicional que puede usar para proteger su negocio frente a pérdidas de seguridad cuando se usa GitHub Secret Protection, es decir:
  • Identifica tokens de acceso adicionales que usas mediante la definición de patrones personalizados.
  • Detectar posibles contraseñas mediante IA.
  • Controle y audite el proceso de omisión para la protección de carga y alertas de detección de secretos.
  • Habilite las comprobaciones de validez de los tokens expuestos.

Para obtener información sobre cómo ejecutar una evaluación gratuita de riesgos de secretos, consulte Generación de una evaluación de riesgos de secretos inicial en la GitHub Enterprise Cloud documentación.

Si ya ha escaneado el código de su organización en busca de secretos filtrados mediante la evaluación gratuita del riesgo de secretos, también querrá explorar esos datos más a fondo mediante las vistas adicionales de la pestaña Security de la organización.

Para obtener detalles completos de las características disponibles, consulte GitHub Secret Protection.

Configuración de seguridad para Advanced Security

La mayoría de las empresas eligen habilitar Advanced Security con protección de inserción en todos sus repositorios aplicando configuraciones de seguridad con estas características habilitadas. Esto garantiza que los repositorios estén comprobados para los tokens de acceso que ya se han agregado a GitHub, además de marcar cuándo los usuarios están a punto de filtrar tokens en GitHub. Para obtener información sobre cómo crear una configuración de seguridad para toda la empresa y cómo aplicarla a los repositorios de prueba, consulte Habilitación de características de seguridad en la empresa de prueba.

Proporcionar acceso para ver los resultados de secret scanning

De forma predeterminada, solo el administrador del repositorio y el propietario de la organización pueden ver todas las secret scanning alertas de su área. Debe asignar el rol predefinido de administrador de seguridad a todos los equipos y usuarios de la organización que quiere que accedan a las alertas que se encuentren durante la prueba. Es posible que también quiera conceder este rol al propietario de la cuenta empresarial de cada una de las organizaciones de la prueba. Para más información, consulta Gestionar a los administradores de seguridad en tu organización.

Puede ver un resumen de cualquier resultado encontrado en las organizaciones de la empresa de prueba en la pestaña Security de la empresa. También hay vistas independientes para cada tipo de alerta de seguridad. Consulta Visualización de información de seguridad.

Identificación de tokens de acceso adicionales

Puede crear patrones personalizados para identificar tokens de acceso adicionales en el repositorio, la organización y la empresa. En la mayoría de los casos, debe definir patrones personalizados a nivel de empresa, ya que esto garantizará que los patrones se usen en toda la empresa. También hará que sean fáciles de mantener en caso de que necesite actualizar un patrón cuando cambie el formato de un token.

Una vez que haya creado y publicado patrones personalizados, tanto secret scanning como la protección de inserción incluye automáticamente los nuevos patrones en todos los escaneos. Para obtener más información sobre cómo crear patrones personalizados, consulte Definición de patrones personalizados para el examen de secretos.

Uso de IA para detectar posibles contraseñas

A nivel de empresa, tiene control total sobre si se permite o no el uso de IA para detectar secretos que no se puedan identificar mediante expresiones regulares (también denominados "secretos genéricos" o "patrones que no son de proveedor").

  • Active o desactive la característica para toda la empresa.
  • Establezca una directiva para bloquear el control de la característica a nivel de organización y repositorio.
  • Establezca una directiva para permitir que los propietarios de la organización o los administradores del repositorio controlen la característica.

De forma similar a los patrones personalizados, si habilita la detección de IA, ambas secret scanning y la protección contra inserciones empiezan a utilizar automáticamente la detección de IA en todos los escaneos. Para obtener información sobre el control a nivel de empresa, consulte Configuración de opciones adicionales de análisis de secretos para la empresa y Aplicación de directivas de seguridad y análisis de código de la empresa.

Control y auditoría del proceso de omisión

Cuando la protección de inserción bloquea una inserción en GitHub un repositorio público sin GitHub Secret Protection, el usuario tiene dos opciones sencillas: eludir el control o quitar el contenido resaltado de la rama y su historial. Si optaron por omitir la protección de seguridad push, se crea automáticamente una secret scanning alerta. Esto permite a los desarrolladores desbloquear rápidamente su trabajo, a la vez que proporciona una pista de auditoría para el contenido identificado por secret scanning.

Los equipos grandes suelen querer mantener un mayor control sobre la posible publicación de tokens de acceso y otros secretos. Con GitHub Secret Protection, puede definir un grupo de revisores para aprobar solicitudes y así omitir la protección de push, reduciendo el riesgo de que un desarrollador filtre accidentalmente un token que sigue activo. También puede definir un grupo de revisores que aprueben las solicitudes de desestimación de alertas de detección de secretos.

Los revisores se definen en una configuración de seguridad a nivel de organización o en la configuración del repositorio. Para más información, consulta Acerca de la omisión delegada para la protección de inserción.

Habilitación de comprobaciones de validez

Puede habilitar comprobaciones de validez para saber si los tokens detectados siguen activos en el repositorio, la organización y la empresa. Por lo general, merece la pena habilitar esta característica en toda la empresa mediante configuraciones de seguridad a nivel de empresa u organización. Para obtener más información, consulte Habilitación de comprobaciones de validez para el repositorio en la GitHub Enterprise Cloud documentación.

Pasos siguientes

Cuando haya habilitado los controles adicionales para Advanced Security, estará listo para probarlos en función de sus necesidades empresariales y explorar más a fondo. Quizás ya esté listo para examinar las opciones disponibles con GitHub Advanced Security.

  •         [AUTOTITLE](/code-security/trialing-github-advanced-security/explore-trial-code-scanning)

  •         [Aplicar GitHub Advanced Security a escala](https://wellarchitected.github.com/library/application-security/recommendations/enforce-ghas-at-scale/)