Acerca de los exámenes de secretos para asociados

Cuando secret scanning detecta los detalles de autenticación de un proveedor de servicios en un repositorio público en GitHub, se envía una alerta directamente al proveedor. Esto permite a los proveedores de servicios que son GitHub asociados tomar medidas rápidamente para proteger sus sistemas.

¿Quién puede utilizar esta característica?

Alertas de escaneo de secretos para socios se ejecuta de manera predeterminada en los repositorios siguientes:

  • Repositorios públicos y paquetes npm públicos en GitHub.

En este artículo

Acerca de alertas de escaneo de secretos para socios

          GitHub examina repositorios públicos y paquetes npm públicos para los secretos emitidos por proveedores de servicios específicos que se unieron a nuestro programa de asociación y alerta al proveedor de servicios correspondiente siempre que se detecta un secreto en una confirmación. El proveedor de servicios valida la secuencia y luego decide si debería revocar el secreto, emitir uno nuevo o contactarte directamente. Su acción dependerá de los riesgos asociados contigo o con ellos.

Para obtener información sobre nuestro programa de asociados, consulta Programa asociado del escaneo de secretos.

Nota:

No se puede cambiar la configuración de secret scanning para los patrones asociados en repositorios públicos.

          Alertas de escaneo de secretos para socios escaneos:
  • Descripciones y comentarios sobre problemas
  • Títulos, descripciones y comentarios, en problemas históricos abiertos y cerrados
  • Títulos, descripciones y comentarios en pull requests
  • Títulos, descripciones y comentarios en GitHub Discussions
  • Wikis
  • Gists secretos

La razón por la que las alertas del asociado se envían directamente a los proveedores de secretos cada vez que se detecta una pérdida en uno de sus secretos es porque esto permite al proveedor tomar medidas inmediatas para protegerle y proteger sus recursos. El proceso de notificación de las alertas normales es diferente. Las alertas regulares se muestran en la pestaña Security and quality del repositorio GitHub para que las resuelvas.

Si el acceso a un recurso requiere credenciales emparejadas, la exploración de secretos creará una alerta solo cuando se detecten las dos partes del par en el mismo archivo. Esto garantiza que las fugas más críticas no queden ocultas detrás de la información sobre fugas parciales. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par deben usarse juntos para acceder al recurso del proveedor.

¿Cuáles son los secretos admitidos?

Para obtener más información acerca de los secretos y los proveedores de servicios admitidos por la protección de inserción, consulte Patrones de análisis de secretos admitidos.

Lectura adicional