Acerca de alertas de examen de secretos para asociados
GitHub examina actualmente los repositorios y los paquetes npm públicos en busca de los secretos emitidos por proveedores de servicios específicos que entraron a formar parte de nuestro programa de asociación, y alerta al proveedor en cuestión cada vez que se detecta un secreto en una confirmación. El proveedor de servicios valida la secuencia y luego decide si debería revocar el secreto, emitir uno nuevo o contactarte directamente. Su acción dependerá de los riesgos asociados contigo o con ellos. Para información sobre nuestro programa de asociados, consulta "Programa asociado del escaneo de secretos".
Note
No puedes cambiar la configuración de secret scanning de los patrones de asociados en los repositorios públicos.
La razón por la que las alertas del asociado se envían directamente a los proveedores de secretos cada vez que se detecta una pérdida en uno de sus secretos, es que esto permite al proveedor tomar medidas inmediatas para protegerle y proteger sus recursos. El proceso de notificación de las alertas normales es diferente. Las alertas normales se muestran en la pestaña Seguridad del repositorio en GitHub para que la pueda resolver.
Si el acceso a un recurso requiere credenciales emparejadas, la exploración de secretos creará una alerta solo cuando se detecten las dos partes del par en el mismo archivo. Esto garantiza que las fugas más críticas no queden ocultas detrás de la información sobre fugas parciales. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par deben usarse juntos para acceder al recurso del proveedor.
Cuáles son los secretos admitidos
Para obtener más información sobre los secretos y los proveedores de servicios admitidos para la protección de inserción, consulte "Patrones de examen de secretos admitidos".