Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.
 

 

Administración de alertas del examen de secretos

In this article

Puedes ver y cerrar las alertas para los secretos que se hayan revisado en tu repositorio.

Who can use this feature

People with admin access to a public repository can view and dismiss secret scanning alerts for the repository.

Las Secret scanning alerts for partners se ejecutan automáticamente en repositorios públicos en todos los productos de GitHub.com. Hay Secret scanning alerts for users disponibles para repositorios públicos y también para los que pertenecen a organizaciones que usan GitHub Enterprise Cloud y tienen una licencia de GitHub Advanced Security. Para obtener más información, consulta "Acerca de las secret scanning alerts for users" y "Acerca de GitHub Advanced Security".

Administración de secret scanning alerts

Nota: Las alertas se crean únicamente para los repositorios que tienen habilitada la característica de secret scanning alerts for users.

Los secretos que se encuentran en los repositorios públicos utilizando el servicio gratuito de secret scanning alerts for partners se notifican directamente al asociado, sin crear una alerta. Para más información, consulta "Secretos admitidos para alertas de asociados".

  1. En GitHub.com, navega a la página principal del repositorio. 1. En el nombre del repositorio, haz clic en Seguridad. Pestaña Seguridad

En la barra lateral de la izquierda, haz clic en Alertas de Secret scanning .

  1. Captura de pantalla de la pestaña "Alertas de Secret scanning"
    En "Secret scanning", haz clic en la alerta que quieres ver.

  2. Captura de pantalla de la lista de alertas de secret scanning
    Comprueba la validez del secreto y sigue los pasos necesarios para la corrección.

  3. Captura de pantalla de la comprobación de la validez de un token de GitHub

    <div class="extended-markdown note border rounded-1 mb-4 p-3 color-border-accent-emphasis color-bg-accent f5">

    Nota: La comprobación de la validez de tokens de GitHub se encuentra actualmente en versión beta pública y está sujeta a cambios.

    GitHub proporciona información sobre la validez del secreto únicamente para tokens de GitHub.

    Validez

    ResultadoSecreto activo
    GitHub ha confirmado que este secreto está activo.Secreto activo
    GitHub ha consultado el proveedor de este secreto y ha detectado que el secreto está activo.Secreto posiblemente activo
    GitHub aún no admite comprobaciones de validación para este tipo de token.Secreto posiblemente activo
    GitHub no ha podido comprobar este secreto.El secreto aparece inactivo
    Debes asegurarte de que no se ha producido ningún acceso no autorizado.

    Para descartar una alerta, selecciona el menú desplegable "Cerrar como" y haz clic en un motivo para resolver una alerta.

  4. Captura de pantalla del menú desplegable para descartar una alerta de secret scanning en la que se muestra el vínculo a la documentación del asociado

    Opcionalmente, agrega un comentario de descarte.

  5. El comentario de descarte se agregará a la escala de tiempo de la alerta y se puede usar como justificación durante el proceso de auditoría y creación de informes. Puedes ver el historial de todas las alertas descartadas y los comentarios del descarte en la escala de tiempo de la alerta. También puedes recuperar o establecer un comentario mediante la API Secret scanning. El comentario está incluido en el campo resolution_comment. Para más información, consulta "Secret scanning" en la documentación de la API REST. Captura de pantalla en la que se muestra cómo descartar una alerta mediante la lista desplegable "Descartar alerta", con la opción de agregar un comentario de descarte

    Haz clic en **Cerrar alerta**.

  6. Asegurar los secretos en riesgo

Cuando un secreto se haya confirmado en un repositorio, deberás considerarlo en riesgo.

GitHub recomienda tomar las siguientes acciones para los secretos puestos en riesgo: Para un GitHub personal access token comprometido, elimina el token comprometido, crea un nuevo token y actualiza todo servicio que use el token antiguo.

  • Para obtener más información, consulta "Creación de un personal access token para la línea de comandos". Para el resto de secretos, compruebe primero que los que se hayan confirmado en GitHub sean válidos.
  • Si es así, cree un secreto, actualice los servicios que usan el secreto anterior y, después, elimine el secreto anterior.

Nota: Si se detecta un secreto en un repositorio público en GitHub.com y dicho secreto también coincide con el patrón de un asociado, se generará una alerta y el secreto potencial se notifica al proveedor de servicios.

Para obtener más información sobre los patrones de asociados, vea "Secretos compatibles con alertas de asociados".

Configurar las notificaciones para secret scanning alerts

Cuando se detecta un secreto nuevo, GitHub notifica a todos los usuarios con acceso a las alertas de seguridad del repositorio de acuerdo con sus preferencias de notificación.

Recibirás notificaciones por correo electrónico si estás observando el repositorio, si habilitaste las notificaciones para las alertas de seguridad o para toda la actividad del repositorio o si eres el autor de la confirmación que contiene el secreto y si no estás ignorando el repositorio. Para obtener más información, vea "Administrar la configuración de seguridad y análisis para el repositorio" y "Configurar notificaciones".

For more information, see "Managing security and analysis settings for your repository" and "Configuring notifications."