Supervisión de alertas del examen de secretos

Obtenga información sobre cómo y cuándo GitHub le notificará sobre una alerta de análisis de secretos.

¿Quién puede utilizar esta característica?

Secret scanning alerts for partners runs automatically on public repositories and public npm packages to notify service providers about leaked secrets on GitHub.

Secret scanning alerts for users are available for public repositories for free. Organizations using GitHub Enterprise Cloud with a license for GitHub Advanced Security can also enable secret scanning alerts for users on their private and internal repositories. For more information, see "About secret scanning alerts" and "About GitHub Advanced Security."

For information about how you can try GitHub Enterprise with GitHub Advanced Security for free, see "Setting up a trial of GitHub Enterprise Cloud" and "Setting up a trial of GitHub Advanced Security" in the GitHub Enterprise Cloud documentation.

En este artículo

Configurar las notificaciones para alertas de examen de secretos

Además de mostrar una alerta en la pestaña Seguridad del repositorio, GitHub también puede enviar notificaciones por correo electrónico sobre las alertas. Las notificaciones son distintas para los exámenes incrementales y los exámenes históricos.

Exámenes incrementales

Cuando se detecta un secreto nuevo, GitHub notifica a todos los usuarios con acceso a las alertas de seguridad del repositorio de acuerdo con sus preferencias de notificación. Entre estos usuarios se incluyen:

  • Administradores del repositorio
  • Administradores de seguridad
  • Usuarios con roles personalizados y acceso de lectura y escritura
  • Propietarios de la organización y propietarios de empresa, si son administradores de repositorios en los que se han filtrado secretos

Note

Se notificará a los autores de confirmación que hayan confirmado accidentalmente secretos, independientemente de sus preferencias de notificación.

Recibirás una notificación por correo electrónico si:

  • Estás viendo el repositorio.
  • Has habilitado notificaciones para "Toda la actividad" o para "Alertas de seguridad" personalizadas en el repositorio.
  • En la configuración de notificación, en "Suscripciones" y en "Ver", has seleccionado recibir notificaciones por correo electrónico.

  1. En GitHub.com, navega a la página principal del repositorio.

  2. Para empezar a ver el repositorio, selecciona Ver.

    Captura de pantalla de la página principal del repositorio. El menú desplegable, titulado "Ver", aparece resaltado con un contorno naranja.

  3. En el menú desplegable, haz clic en Toda la actividad. Como alternativa, para suscribirte solo a alertas de seguridad, haz clic en Personalizar y, a continuación, en Alertas de seguridad.

  4. Ve a la configuración de notificación de tu cuenta personal. Está disponible en https://github.com/settings/notifications.

  5. En la página de configuración de notificaciones, en "Suscripciones", después en "Ver", selecciona el desplegable Notificarme.

  6. Selecciona "Correo electrónico" como opción de notificación y, a continuación, haz clic en Guardar.

    Captura de pantalla de la configuración de notificación de una cuenta de usuario. Se muestran un encabezado de elemento, titulado "Suscripciones" y un subencabezado, titulado "Ver". Un vínculo, con el título "Correo electrónico" está resaltado con un contorno naranja.

Para obtener más información sobre la configuración de preferencias de notificación, consulta "Administración de la configuración de seguridad y análisis para el repositorio" y "Configurar los ajustes de observación para un repositorio individual".

Exámenes históricos

En los exámenes históricos, GitHub notifica a los usuarios siguientes:

  • Propietarios de la organización, propietarios de empresas y administradores de seguridad, siempre que se complete un examen histórico, aunque no se encuentren secretos.
  • Administradores de repositorios, administradores de seguridad y usuarios con roles personalizados con acceso de lectura y escritura, siempre que un examen histórico detecte un secreto y en función de sus preferencias de notificación.

No se notifica a los autores de las confirmaciones.

Para obtener más información sobre la configuración de preferencias de notificación, consulta "Administración de la configuración de seguridad y análisis para el repositorio" y "Configurar los ajustes de observación para un repositorio individual".

Auditoría de respuestas a alertas de análisis de secretos

Puedes auditar las acciones realizadas en respuesta a las alertas de secret scanning mediante las herramientas de GitHub. Para obtener más información, vea «Auditoría de alertas de seguridad».