Habilitación de comprobaciones de validez para el repositorio

La habilitación de comprobaciones de validez en el repositorio le ayuda a priorizar la corrección de alertas, ya que indica si un secreto está activo o inactivo.

¿Quién puede utilizar esta característica?

Las comprobaciones de validez de los patrones de asociados están disponibles en todos los tipos de repositorios en GitHub. Para usar esta característica, debe tener una licencia para GitHub Advanced Security.

En este artículo

Acerca de las comprobaciones de validez

Puede habilitar comprobaciones de validez de los secretos identificados como tokens de proveedor de servicios para el repositorio. Una vez habilitado, GitHub comprobará periódicamente la validez de una credencial detectada enviando el secreto directamente al proveedor, como parte del programa de asociación de análisis de secretos de GitHub. Para información sobre nuestro programa de asociados, consulta "Programa asociado del escaneo de secretos".

GitHub muestra el estado de validación del secreto en la vista de alertas, para que pueda ver si el secreto es active, inactive o si el estado de validación es unknown. Opcionalmente, puede realizar una comprobación de validez "a petición" para el secreto en la vista de alertas.

Además, puedes optar por habilitar las comprobaciones de validez de los patrones asociados. Una vez habilitado, GitHub comprobará periódicamente la validez de una credencial detectada enviando el secreto directamente al proveedor, como parte del programa de asociación de análisis de secretos formal de GitHub. GitHub normalmente realiza solicitudes GET para comprobar la validez de la credencial, elige los puntos de conexión menos intrusivos y selecciona los puntos de conexión que no devuelven ninguna información personal.

GitHub muestra el estado de validación del secreto en la vista de alerta.

Puede filtrar por estado de validación en la página de alertas, para que pueda priorizar las alertas en las que debe realizar acciones.

Note

GitHub normalmente realiza solicitudes GET para comprobar la validez de la credencial, elige los puntos de conexión menos intrusivos y selecciona los puntos de conexión que no devuelven ninguna información personal.

Para obtener más información sobre el uso de las comprobaciones de validez, consulte "Evaluación de alertas del examen de secretos".

Habilitación de comprobaciones de validez

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

  4. En Secret scanning, selecciona la casilla situada junto a "Comprobar automáticamente si un secreto es válido mediante el envío al asociado correspondiente".

También puedes usar la API de REST para habilitar las comprobaciones de validez de los patrones de asociados para tu repositorio. Para obtener más información, vea «Puntos de conexión de la API de REST para repositorios».

Como alternativa, los propietarios de la organización y los administradores de empresa pueden habilitar la característica para todos los repositorios de la organización o la configuración empresarial. Para más información sobre habilitarlo en el nivel de la organización, consulta "Creación de una configuración de seguridad personalizada". Para obtener más información sobre cómo habilitar en el nivel empresarial, consulta "Administración de las características de GitHub Advanced Security para la empresa" y "Puntos de conexión de API de REST para la seguridad y el análisis del código empresarial".

Información adicional