Acerca de la evaluación de alertas
Hay algunas características adicionales que pueden ayudarle a evaluar las alertas para priorizarlas y administrarlas mejor. Ustedes pueden:
- Comprueba la validez de un secreto para ver si sigue activo.
Se aplica solo a GitHub tokens. Consulte Comprobación de la validez de un secreto.
- Realice una comprobación de validez "a petición" para obtener el estado de validación más actualizado. Consulte Realización de una comprobación de validez a petición.
- Revisa los metadatos de un token. Solo se aplica a GitHub tokens. Por ejemplo, para ver cuándo se usó por última vez el token. Consulte Revisión de los metadatos del GitHub token.
- Revise las comprobaciones de metadatos extendidas de un secreto expuesto para ver detalles como quién es el propietario del secreto y cómo ponerse en contacto con el propietario del secreto. Solo se aplica a los tokens de OpenAI API, Google OAuth y Slack. Consulte Revisión de metadatos extendidos para un token.
- Revise las etiquetas asignadas a la alerta. Para obtener más información, consulte Revisión de etiquetas de alerta.
Comprobación de la validez de un secreto
Las comprobaciones de validez te ayudan a priorizar las alertas indicando qué secretos son active o inactive. Un secreto active es aquel que todavía se podría aprovechar, por lo que estas alertas deben revisarse y corregirse como prioridad.
De forma predeterminada, GitHub comprueba la validez de GitHub los tokens y muestra el estado de validación del token en la vista de alertas.
Las organizaciones que usan GitHub Team, GitHub Enterprise Cloud con una licencia para GitHub Secret Protectiono GitHub Enterprise Server con una licencia para GitHub Secret Protection también pueden habilitar comprobaciones de validez para los patrones de asociados. Para obtener más información, consulte Comprobación de la validez de un secreto.
| Validez | Estado | Resultado |
|---|---|---|
| Secreto activo | active | GitHub ha consultado el proveedor de este secreto y ha detectado que el secreto está activo. |
| Secreto posiblemente activo | unknown | GitHub aún no admite comprobaciones de validación para este tipo de token. |
| Secreto posiblemente activo | unknown | GitHub no ha podido comprobar este secreto. |
| Secreto inactivo | inactive | Debes asegurarte de que no se ha producido ningún acceso no autorizado. |
Las comprobaciones de validez de los patrones de asociado están disponibles para los siguientes tipos de repositorio:
- Repositorios propiedad de la organización en GitHub Team o GitHub Enterprise Cloud con GitHub Secret Protection habilitado
Para obtener información sobre cómo habilitar las comprobaciones de validez de los patrones de asociados, consulte Habilitación de comprobaciones de validez para el repositorio y para obtener información sobre qué patrones de asociados se admiten actualmente, consulte Patrones de análisis de secretos admitidos.
Puede habilitar las comprobaciones de validez de los patrones de asociados mediante configuraciones de seguridad, ya sea establecidas en la empresa o en el nivel de organización. Consulte Creación de una configuración de seguridad personalizada para su empresa y Creación de una configuración de seguridad personalizada.
Para obtener información sobre qué patrones de asociados se admiten actualmente, consulte Patrones de análisis de secretos admitidos.
Con una GitHub Copilot para grandes empresas licencia, puede pedir Chat de Copiloto ayuda para entender mejor las alertas de seguridad, incluidas secret scanning las alertas en repositorios de su organización. Para más información, consulta Hacer preguntas a GitHub Copilot en GitHub.
Puede usar la API de REST para recuperar una lista del estado de validación más reciente para cada uno de los tokens. Para más información, consulta Puntos de conexión de la API REST para el examen de secretos en la documentación de la API de REST. También puede utilizar webhooks para recibir notificaciones sobre la actividad relacionada con una alerta secret scanning. Para obtener más información, consulte el evento de secret_scanning_alert en Eventos y cargas de webhook.
Realización de una comprobación de validez a petición
Una vez que haya habilitado las comprobaciones de validez de los patrones de asociados para el repositorio, puede realizar una comprobación de validez "a petición" para cualquier secreto admitido haciendo clic en Comprobar secreto en la vista de alertas. GitHub enviará el patrón al asociado correspondiente y mostrará el estado de validación del secreto en la vista de alertas.
Revisión de los metadatos del GitHub token
Nota:
Los metadatos para los tokens de GitHub están actualmente en versión preliminar pública y están sujetos a cambios.
En la vista de una alerta de token activo GitHub , puede revisar determinados metadatos sobre el token. Estos metadatos pueden ayudarle a identificar el token y decidir qué pasos de corrección se deben realizar.
Los tokens, como personal access token y otras credenciales, se consideran información personal. Para obtener más información sobre cómo usar los GitHub tokens, consulte la Declaración de privacidad de GitHub y las Políticas de uso aceptable.
Los metadatos de los tokens GitHub están disponibles para los tokens activos en cualquier repositorio con la detección de secretos habilitada. Si se ha revocado un token o no se puede validar su estado, los metadatos no estarán disponibles. GitHub Revoca automáticamente los GitHub tokens en repositorios públicos, por lo que es poco probable que los metadatos de GitHub los tokens de los repositorios públicos estén disponibles. Los metadatos siguientes están disponibles para los tokens activos GitHub :
| Metadatos | Description |
|---|---|
| Nombre del secreto | Nombre asignado al GitHub token por su creador |
| Propietario del secreto | El GitHub alias del propietario del token |
| Fecha de creación | Fecha en que se creó el token. |
| Expiró el | Fecha de expiración del token. |
| Fecha de uso más reciente | Fecha en que se usó por última vez el token. |
| Acceso | Si el token tiene acceso a la organización. |
Solo las personas con permisos de administrador en el repositorio que contienen un secreto filtrado pueden ver los detalles de alerta de seguridad y los metadatos del token de una alerta. Los propietarios de empresas pueden solicitar acceso temporal al repositorio para este fin. Si se concede acceso, GitHub notificará al propietario del repositorio que contiene el secreto filtrado, notificará la acción en los registros de auditoría de empresa y propietario del repositorio y habilitará el acceso durante 2 horas. Para obtener más información, consulte Acceso a repositorios propiedad del usuario en tu empresa.
Revisión de metadatos extendidos para un token
Nota:
Las comprobaciones de metadatos extendidas para los tokens están en versión preliminar pública y están sujetas a cambios.
En la vista de una alerta de token GitHub activa, puede ver metadatos ampliados, como detalles del propietario y de contacto.
En la tabla siguiente se muestran todos los metadatos disponibles. Tenga en cuenta que actualmente las comprobaciones de metadatos están limitadas a los tokens de OpenAI API, Google OAuth y Slack, y los metadatos que se muestran para cada token pueden representar solo un subconjunto de lo que existe.
| Tipo de metadatos | Description |
|---|---|
| Id. del propietario | Identificador único del proveedor para la cuenta de usuario o servicio que posee el secreto |
| Nombre del propietario | Nombre de usuario fácil de leer o nombre para mostrar del propietario del secreto |
| Correo electrónico del propietario | Dirección de correo electrónico asociada al propietario |
| Nombre de la organización | Nombre de la organización, área de trabajo o proyecto al que pertenece el secreto |
| Identificador de la organización | Identificador único del proveedor para esa organización |
| Fecha de emisión secreta | Marca de tiempo en la que se creó el secreto (token o clave) o se emitió más recientemente |
| Fecha de expiración del secreto | Marca de tiempo en la que el secreto está programado para expirar |
| Nombre del secreto | Nombre de visualización o etiqueta asignada por el usuario para el secreto |
| Id. de secreto | Identificador único del proveedor para el secreto |
Preguntar a Copilot Chat de GitHub sobre las alertas de secret scanning
Con una GitHub Copilot para grandes empresas licencia, puede pedir Chat de Copiloto ayuda para entender mejor las alertas de seguridad, incluidas secret scanning las alertas en repositorios de su organización. Para más información, consulta Hacer preguntas a GitHub Copilot en GitHub.
Revisión de etiquetas de alerta
En la vista de alertas, puede revisar las etiquetas asignadas a la alerta. Las etiquetas proporcionan detalles adicionales sobre la alerta, que pueden informar sobre el enfoque que adopte para su corrección.
Secret scanning las alertas pueden tener asignadas las siguientes etiquetas. En función de las etiquetas asignadas, verá información adicional en la vista de alertas.
| Etiqueta | Description | Información sobre la vista de alertas |
|---|---|---|
public leak | El secreto detectado en tu repositorio también se ha identificado como expuesto públicamente por al menos uno de los análisis de GitHub de código, debates, gists, incidencias, solicitudes de extracción y wikis. Esto puede requerir que solucione la alerta con mayor urgencia o que corrija la alerta de forma diferente en comparación con un token expuesto de forma privada. | Verá vínculos a cualquier ubicación pública específica en la que se haya detectado el secreto filtrado. |
multi-repo | El secreto detectado en el repositorio se ha encontrado en varios repositorios de su organización o empresa. Esta información puede ayudarle a desduplicar más fácilmente la alerta en toda su organización o empresa. | Si tiene los permisos adecuados, verá vínculos a las alertas específicas para el mismo secreto en su organización o empresa. |