Acerca de las alertas de examen de secretos

Obtenga información sobre los distintos tipos de alertas de detección de secretos.

¿Quién puede utilizar esta característica?

Propietarios de repositorios, propietarios de organizaciones, administradores de seguridad y usuarios con el rol de administrador

Secret scanning está disponible para los tipos de repositorio siguientes:

        **Repositorios públicos**: Secret scanning se ejecuta automáticamente y sin coste.

        **Repositorios privados e internos de la organización**: disponibles con [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) habilitados en GitHub Team o GitHub Enterprise Cloud.

        **Repositorios propiedad del usuario**: disponibles en GitHub Enterprise Cloud con Enterprise Managed Users. Disponible en GitHub Enterprise Server cuando la empresa tiene [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) habilitado.

En este artículo

Acerca de los tipos de alertas

Hay tres tipos de alertas de detección de secretos:

        **
        Alertas de usuario:** se notifica a los usuarios en la **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** pestaña del repositorio, cuando se detecta un secreto admitido en el repositorio.

        **Alertas de protección de inserción:** Se notifica a los usuarios en la **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** pestaña del repositorio, cuando un colaborador omite la protección de inserción.

        **Alertas de socios:** Comunicado directamente a proveedores confidenciales que forman parte del programa de socios de secret scanning. Estas alertas no se notifican en la **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** pestaña del repositorio.

Acerca de las alertas de usuario

          Cuando el secret scanning se habilita en un repositorio o se insertan confirmaciones en un repositorio con secret scanning habilitado, GitHub examina el contenido en busca de secretos que coincidan con los patrones definidos por proveedores de servicios.
          
          Cuando el secret scanning detecte un secreto, GitHub generará una alerta.
          GitHub muestra una alerta en la **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** pestaña del repositorio.

Para ayudarle a evaluar las alertas de forma más eficaz, GitHub separa las alertas en dos listas:

```
        **Alertas predeterminadas**
```
```
        **Alertas genéricas**
```

Lista de alertas predeterminadas

La lista de alertas predeterminadas muestra alertas que se relacionan con los patrones admitidos y los patrones personalizados especificados. Esta es la vista principal de las alertas.

          Lista de alertas genéricas

La lista de alertas experimentalesmuestra alertas relacionadas con patrones que no son de proveedor (como claves privadas) o secretos genéricos detectados mediante ia (como contraseñas). Estos tipos de alertas pueden tener una tasa más alta de falsos positivos o secretos usados en las pruebas. Puede alternar a la lista de alertas genéricas desde la lista de alertas predeterminadas.

          GitHubseguirá liberando nuevos patrones y tipos de secretos en la lista de alertas experimentalesy los promoverá a la lista predeterminada cuando se complete la característica (es decir, cuando tengan un volumen adecuado bajo y una tasa de falsos positivos).

Además, las alertas que caen dentro de esta categoría:

Se limitan en cantidad a 5000 alertas por repositorio (esto incluye alertas abiertas y cerradas).
No se muestran en las vistas de resumen de información general de seguridad, solo en la vista "Secret scanning".
Solo se muestran las primeras cinco ubicaciones detectadas en GitHub para patrones que no son de proveedor, y solo la primera ubicación detectada para secretos genéricos identificados por IA.

Para GitHub buscar patrones que no son de proveedor y secretos genéricos, primero debe habilitar las característicasde su repositorio u organización. Para obtener más información, consulte Habilitación del análisis de secretos para patrones que no son de proveedores y Habilitación de la detección de secretos genéricos del análisis de secretos de Copilot.

Si el acceso a un recurso requiere credenciales emparejadas, la exploración de secretos creará una alerta solo cuando se detecten las dos partes del par en el mismo archivo. Esto garantiza que las fugas más críticas no queden ocultas detrás de la información sobre fugas parciales. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par deben usarse juntos para acceder al recurso del proveedor.

Acerca de las alertas de protección de inserción

La protección de inserción examina inserciones para los secretos admitidos. Si la protección de inserción detecta un secreto admitido, bloqueará la inserción. Cuando un colaborador omite la protección de inserción para insertar un secreto en el repositorio, se genera una alerta de protección de inserción y se muestra en la Security and quality pestaña del repositorio. Para ver todas las alertas de protección de inserción de un repositorio, debe filtrar por bypassed: true en la página de alertas. Para más información, consulta Visualización y filtrado de alertas del análisis de secretos.

Nota:

          También puede habilitar la protección de inserción para su cuenta personal, denominada "protección de inserción para los usuarios", lo que le impide insertar accidentalmente secretos admitidos en _cualquier_ repositorio público. Las alertas _no_ se crean si decide omitir solo la protección de inserción basada en el usuario. Las alertas solo se crean si el propio repositorio tiene habilitada la protección de inserción. Para obtener más información, consulte [AUTOTITLE](/code-security/secret-scanning/working-with-secret-scanning-and-push-protection/push-protection-for-users).

          Es posible que las versiones anteriores de ciertos tokens no sean compatibles con la protección de inserción, ya que estos tokens pueden generar un número mayor de falsos positivos que su versión más reciente. Es posible que la protección de inserción tampoco se aplique a los tokens heredados. En el caso de tokens como claves de Azure Storage, GitHub solo admite tokens _creados recientemente_, no tokens que coincidan con los patrones heredados. Para obtener más información sobre las limitaciones de protección de inserción, consulte [AUTOTITLE](/code-security/how-tos/secure-your-secrets/troubleshooting-secret-scanning#push-protection-and-pattern-versions).

Acerca de las alertas de asociados

Cuando GitHub detecta un secreto filtrado en un repositorio público o un paquete npm, se envía una alerta directamente al proveedor de secretos, si forman parte del programa de socios de análisis de secretos de GitHub. Para obtener más información sobre alertas de escaneo de secretos para socios, vea Programa asociado del escaneo de secretos y Patrones de análisis de secretos admitidos.

Las alertas de asociado no se envían a los administradores del repositorio, por lo que no es necesario realizar ninguna acción para este tipo de alerta.

Lectura adicional

        [AUTOTITLE](/code-security/reference/secret-security/supported-secret-scanning-patterns)

        [AUTOTITLE](/code-security/how-tos/secure-your-secrets/detect-secret-leaks/enabling-secret-scanning-for-non-provider-patterns)