Configurar el escaneo de secretos para tu aplicativo

Puede habilitar, configurar y deshabilitar secret scanning para GitHub Enterprise Server. Secret scanning permite a los usuarios examinar el código para detectar secretos subidos accidentalmente.

En este artículo

Acerca de secret scanning

Si alguien comprueba un secreto con un patrón conocido en un repositorio, secret scanning detecta el secreto a medida que se registra y le ayuda a mitigar el impacto de la filtración. Los administradores del repositorio reciben una notificación sobre cualquier confirmación que contenga un secreto y pueden ver rápidamente todos los secretos detectados en la Security pestaña del repositorio. Consulta Acerca del examen de secretos.

Disponibilidad

Cuando la organización tiene GitHub Secret Protection habilitado, Secret scanning está disponible para repositorios de la organización y del usuario.

Comprobación de si la licencia incluye Advanced Security

Puedes identificar si tu empresa tiene una licencia para Advanced Security productos revisando la configuración de la empresa. Para más información, consulta Habilitación de productos de GitHub Advanced Security para tu empresa.

Requisitos previos para secret scanning

  • La marca de CPU SSSE3 (Extensiones SIMD de streaming complementario 3) debe estar habilitada en la máquina virtual o KVM que ejecuta GitHub Enterprise Server. Para obtener más información sobre SSSE3, consulte el Manual de referencia de optimización de arquitecturas de Intel 64 y IA-32 en la documentación de Intel.

  • Una licencia para GitHub Secret Protection o GitHub Advanced Security (consulte Facturación de licencias de GitHub Advanced Security)

  •         Secret scanning habilitado en la consola de administración (consulte [AUTOTITLE](/admin/code-security/managing-github-advanced-security-for-your-enterprise/enabling-github-advanced-security-for-your-enterprise))

Verificar la compatibilidad del marcador de las SSSE3 en tus vCPU

El conjunto de instrucciones SSSE3 se requiere porque secret scanning aprovecha la coincidencia de patrones acelerada por hardware para encontrar posibles credenciales almacenadas en los GitHub repositorios. Las SSSE3 se habilitan para la mayoría de los CPU modernos. Puede comprobar si SSSE3 está habilitado para las vCPU disponibles para la GitHub Enterprise Server instancia.

  1. Conéctese al shell administrativo de su instancia GitHub Enterprise Server. Consulta Acceder al shell administrativo (SSH).

  2. Escriba el comando siguiente:

    grep -iE '^flags.*ssse3' /proc/cpuinfo >/dev/null; echo $?

    Si esto devuelve el valor 0, significa que la marca SSSE3 está disponible y se ha habilitado. Ahora puede habilitar secret scanning. Consulte Habilitar secret scanning a continuación.

    Si esto no devuelve 0, SSSE3 no está habilitado en la máquina virtual o KVM. Necesitarás referirte a la documentación del hardware/hípervisor para encontrar cómo habilitar el marcador o ponerlo disponible como VM invitadas.

Habilitación de secret scanning

Advertencia

  • El cambio de esta configuración hará que se reinicien los servicios orientados al usuario en GitHub Enterprise Server. Debes sincronizar este cambio cuidadosamente para minimizar el tiempo de inactividad de los usuarios.
  • Cualquier cambio que planees realizar en la configuración de habilitación de características debes comunicarlo a los propietarios de la organización antes de hacerlos, para que las configuraciones de seguridad existentes que han implementado las organizaciones de tu empresa no resulten afectadas.

  1. Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haz clic en .

  2. Si todavía no está en la página "Administrador del sitio", en la esquina superior izquierda, haga clic en Administrador del sitio.

  3. En la barra lateral " Site admin", haz clic en Consola de administración.

  4. En la barra lateral Settings, haga clic en Seguridad.

  5. En "Seguridad", seleccione Secret scanning.

  6. En la barra lateral "Configuración" , haga clic en Guardar configuración.

    Nota:

    Al guardar la configuración en Consola de administración se restablecen los servicios del sistema, lo que podría generar un tiempo de inactividad visible para el usuario.

  7. Espera que se complete la fase de configuración.

    Opcionalmente, para permitir que los usuarios habiliten comprobaciones de validez en el nivel de empresa, organización o repositorio, configure comprobaciones de validez para secret scanning.

  8. Haga clic en secret scanning Comprobaciones de validez. Para obtener información sobre las comprobaciones de validez, consulte Habilitación de comprobaciones de validez para el repositorio.

    Nota:

    Al habilitar las comprobaciones de validez, se enviarán solicitudes salientes a los servicios asociados para comprobar los secretos detectados. Esto significa que los metadatos secretos saldrán de tu instancia. Debe asegurarse de que esto se alinea con las directivas de seguridad y cumplimiento de su empresa antes de habilitarla.

  9. Para ejecutar una prueba de conexión sencilla para comprobar que las conexiones salientes son posibles, haga clic en Prueba de conexión de comprobaciones de validez.

Deshabilitar secret scanning

Advertencia

  • El cambio de esta configuración hará que se reinicien los servicios orientados al usuario en GitHub Enterprise Server. Debes sincronizar este cambio cuidadosamente para minimizar el tiempo de inactividad de los usuarios.
  • Cualquier cambio que planees realizar en la configuración de habilitación de características debes comunicarlo a los propietarios de la organización antes de hacerlos, para que las configuraciones de seguridad existentes que han implementado las organizaciones de tu empresa no resulten afectadas.

  1. Desde una cuenta administrativa de GitHub Enterprise Server, en la esquina superior derecha de cualquier página, haz clic en .

  2. Si todavía no está en la página "Administrador del sitio", en la esquina superior izquierda, haga clic en Administrador del sitio.

  3. En la barra lateral " Site admin", haz clic en Consola de administración.

  4. En la barra lateral Settings, haga clic en Seguridad.

  5. En "Seguridad", anule la selección de Secret scanning.

  6. En la barra lateral "Configuración" , haga clic en Guardar configuración.

    Nota:

    Al guardar la configuración en Consola de administración se restablecen los servicios del sistema, lo que podría generar un tiempo de inactividad visible para el usuario.

  7. Espera que se complete la fase de configuración.