Acerca del examen de secretos

Evite el uso fraudulento de los secretos mediante la detección automática de credenciales expuestas antes de que se puedan aprovechar.

En este artículo

Cuando se confirman credenciales como claves de API y contraseñas en repositorios, se convierten en destinos para el acceso no autorizado. Secret scanning detecta automáticamente estos secretos expuestos para que pueda protegerlos antes de que se aprovechen.

Sugerencia

En cualquier momento, puede ejecutar una evaluación gratuita del código de su organización para los secretos filtrados.

Para generar un informe, abra En la pestaña Security de tu organización, muestra la página Assessments y, a continuación, haz clic en Scan your organization..

Cómo el escaneo de secretos protege tu código

          Secret scanning examina todo el historial de Git en todas las ramas del repositorio para obtener claves de API, contraseñas, tokens y otros tipos de secretos conocidos. 
          GitHub también vuelve a examinar periódicamente los repositorios cuando se agregan nuevos tipos de secretos.

          GitHub también examina automáticamente:
  • Descripciones y comentarios sobre problemas
  • Títulos, descripciones y comentarios, en problemas históricos abiertos y cerrados
  • Títulos, descripciones y comentarios en pull requests
  • Títulos, descripciones y comentarios en GitHub Discussions
  • Gists secretos

          Secret scanning alertas y corrección

Cuando secret scanning encuentra un secreto potencial, GitHub genera una alerta en la pestaña del Security repositorio con detalles sobre la credencial expuesta.

Cuando reciba una alerta, gire inmediatamente la credencial afectada para evitar el acceso no autorizado. Aunque también puede quitar secretos del historial de Git, esto requiere mucho tiempo y suele ser innecesario si ya ha revocado la credencial.

Personalización

Además de la detección predeterminada de secretos de socios y proveedores, puede expandir y personalizar secret scanning para adaptarse a sus necesidades.

  •         **Patrones que no son de proveedores.** Expanda la detección a secretos que no están vinculados a un proveedor de servicios específico, como claves privadas, cadenas de conexión y claves de API genéricas.

  •         **Patrones personalizados.** Defina sus propias expresiones regulares para detectar secretos específicos de la organización que no están cubiertos por patrones predeterminados.

  •         **Comprobaciones de validez.** Priorice la corrección comprobando si los secretos detectados siguen activos.

¿Cómo puedo acceder a esta característica?

Secret scanning está disponible para los tipos de repositorio siguientes:

  •         **Repositorios públicos**: Secret scanning se ejecuta automáticamente y sin coste.

  •         **Repositorios privados e internos de la organización**: disponibles con [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) habilitados en GitHub Team o GitHub Enterprise Cloud.

  •         **Repositorios propiedad del usuario**: disponibles en GitHub Enterprise Cloud con Enterprise Managed Users. Disponible en GitHub Enterprise Server cuando la empresa tiene [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) habilitado.

Pasos siguientes

  •         **Si ha recibido una alerta**, consulte [AUTOTITLE](/code-security/secret-scanning/managing-alerts-from-secret-scanning) para obtener información sobre cómo revisar, resolver y corregir secretos expuestos.

  •         **Si va a proteger una organización**, consulte [AUTOTITLE](/code-security/how-tos/secure-at-scale/configure-organization-security/configure-specific-tools/assess-your-secret-risk) para determinar la exposición de su organización a secretos filtrados.

Lectura adicional