Resolución de alertas del examen de secretos

Después de revisar los detalles de una alerta de análisis de secretos, debe corregir y cerrar la alerta.

¿Quién puede utilizar esta característica?

People with admin access to a public repository can dismiss secret scanning alerts for the repository.

Secret scanning alerts for partners runs automatically on public repositories and public npm packages to notify service providers about leaked secrets on GitHub.

Secret scanning alerts for users are available for public repositories for free. Organizations using GitHub Enterprise Cloud with a license for GitHub Advanced Security can also enable secret scanning alerts for users on their private and internal repositories. For more information, see "About secret scanning alerts" and "About GitHub Advanced Security."

For information about how you can try GitHub Enterprise with GitHub Advanced Security for free, see "Setting up a trial of GitHub Enterprise Cloud" and "Setting up a trial of GitHub Advanced Security" in the GitHub Enterprise Cloud documentation.

En este artículo

Corrección de alertas

Cuando un secreto se haya confirmado en un repositorio, deberás considerarlo en riesgo. GitHub recomienda tomar las siguientes acciones para los secretos puestos en riesgo:

  • Para un GitHub personal access token comprometido, elimina el token comprometido, crea un nuevo token y actualiza todo servicio que use el token antiguo. Para obtener más información, vea «Administración de tokens de acceso personal».
  • Para el resto de secretos, compruebe primero que los que se hayan confirmado en GitHub sean válidos. Si es así, cree un secreto, actualice los servicios que usan el secreto anterior y, después, elimine el secreto anterior.

Note

Si se detecta un secreto en un repositorio público en GitHub y dicho secreto también coincide con el patrón de un asociado, se generará una alerta y el secreto potencial se notifica al proveedor de servicios. Para obtener detalles sobre los patrones de asociado, consulta "Patrones de examen de secretos admitidos".

Cierre de alertas

Note

Secret scanning no cierra automáticamente las alertas cuando se ha quitado el token correspondiente del repositorio. Debe cerrar manualmente estas alertas en la lista de alertas de GitHub.

  1. En GitHub.com, navega a la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Seguridad. Si no puedes ver la pestaña "Seguridad", selecciona el menú desplegable y, a continuación, haz clic en Seguridad.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Seguridad" está resaltada con un contorno naranja oscuro.

  3. En la barra lateral de la izquierda, en "Alertas de vulnerabilidad", haz clic en Secret scanning .

  4. En "Secret scanning", haz clic en la alerta que quieres ver.

  5. Para descartar una alerta, selecciona el menú desplegable "Cerrar como" y haz clic en un motivo para resolver una alerta.

    Captura de pantalla de una alerta secret scanning. Se despliega un menú desplegable, titulado "Cerrar como", resaltado con un contorno naranja oscuro.

  6. Opcionalmente, en el campo "Comentario", agrega un comentario de descarte. El comentario de descarte se agregará a la escala de tiempo de la alerta y se puede usar como justificación durante el proceso de auditoría y creación de informes. Puedes ver el historial de todas las alertas descartadas y los comentarios del descarte en la escala de tiempo de la alerta. También puedes recuperar o establecer un comentario mediante la API Secret scanning. El comentario está incluido en el campo resolution_comment. Para más información, consulta "Puntos de conexión de la API REST para el examen de secretos" en la documentación de REST API.

  7. Haz clic en Cerrar alerta.

Pasos siguientes