Ámbito de detección de escaneo de secretos

El examen de secretos usa la coincidencia de patrones y la validación para detectar secretos. La detección varía en función de los pares de patrones, los tipos de token y la configuración de protección contra inserciones.

¿Quién puede utilizar esta característica?

Secret scanning está disponible para los tipos de repositorio siguientes:

  •         **Repositorios públicos**: Secret scanning se ejecuta automáticamente y sin coste.

  •         **Repositorios privados e internos de la organización**: disponibles con [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) habilitados en GitHub Team o GitHub Enterprise Cloud.

  •         **Repositorios propiedad del usuario**: disponibles en GitHub Enterprise Cloud con Enterprise Managed Users. Disponible en GitHub Enterprise Server cuando la empresa tiene [GitHub Secret Protection](/get-started/learning-about-github/about-github-advanced-security) habilitado.

En este artículo

Detección de pares de patrones

Secret scanning solo detectará pares de patrones, como claves de acceso y secretos de AWS, si el identificador y el secreto se encuentran en el mismo archivo y ambos se insertan en el repositorio. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par (el identificador y el secreto) deben usarse juntos para acceder al recurso del proveedor.

Los pares insertados en archivos diferentes, o no insertados en el mismo repositorio, no generarán alertas. Para obtener más información sobre los pares de patrones admitidos, consulte la tabla en Patrones de análisis de secretos admitidos.

Acerca de los tokens de GitHub heredados

Para GitHub, comprobamos la validez del secreto para determinar si el secreto está activo o inactivo. Esto significa que, para los tokens heredados, secret scanning no detectará un GitHub Enterprise Server personal access token en GitHub Enterprise Cloud. Del mismo modo, no se encontrará GitHub Enterprise Cloud personal access token en GitHub Enterprise Server.

Limitaciones de protección de inserción

Si la protección de inserción no detectó un secreto que cree que se debe haber detectado, primero debe comprobar que la protección de inserción admite el tipo de secreto en la lista de secretos admitidos. Para obtener más información, consulte Patrones de análisis de secretos admitidos.

Si el secreto está en la lista admitida, hay varias razones por las que es posible que la protección de inserción no la detecte.

  • La protección de inserción solo bloquea los secretos filtrados en un subconjunto de los patrones con alertas de usuario más identificables. Los colaboradores pueden confiar en defensas de seguridad cuando estos secretos se bloquean, ya que son los patrones que tienen el número más bajo de falsos positivos.
  • Es posible que la versión del secreto sea antigua.
  • La inserción puede ser demasiado grande, por ejemplo, si intenta insertar miles de archivos grandes. Un examen de protección de inserción puede agotar el tiempo de espera y no bloquear a un usuario si la inserción es demasiado grande. GitHub seguirá examinando y creando alertas, si es necesario, después de la inserción.
  • Si la inserción da como resultado la detección de más de cinco secretos nuevos, solo le mostraremos los cinco primeros (siempre le mostraremos un máximo de cinco secretos a la vez).
  • Si una inserción contiene más de 1 000 secretos existentes (es decir, secretos para los que ya se han creado alertas), la protección de inserción no bloqueará la inserción.
  • Si una inserción en un repositorio público es superior a 50 MB, la protección de inserción la omitirá y no la analizará.
  • Si ves una solicitud de omisión sin detalles de la ruta de acceso de archivo o confirmación, significa que la protección de inserción ha expirado. La inserción era demasiado grande o el historial era demasiado complejo para localizar la confirmación que introdujo el secreto.