Patrones de análisis de secretos admitidos

Listas de los secretos admitidos y los asociados con los que trabaja GitHub para evitar el uso fraudulento de secretos que se confirmaron por accidente.

¿Quién puede utilizar esta característica?

Secret scanning está disponible para los tipos de repositorio siguientes:

  • Repositorios públicos: Secret scanning se ejecuta automáticamente y sin coste.
  • Repositorios privados e internos de la organización: disponibles con GitHub Secret Protection habilitados en GitHub Team o GitHub Enterprise Cloud.
  • Repositorios propiedad del usuario: disponibles en GitHub Enterprise Cloud con Enterprise Managed Users. Disponible en GitHub Enterprise Server cuando la empresa tiene GitHub Secret Protection habilitado.

En este artículo

Acerca de los patrones de secret scanning

Hay tres tipos de alertas de detección de secretos:

          Alertas de usuario:** se notifica a los usuarios en la **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** pestaña del repositorio, cuando se detecta un secreto admitido en el repositorio.
  • Alertas de protección de inserción: Se notifica a los usuarios en la Security and quality pestaña del repositorio, cuando un colaborador omite la protección de inserción.
  • Alertas de socios: Comunicado directamente a proveedores confidenciales que forman parte del programa de socios de secret scanning. Estas alertas no se notifican en la Security and quality pestaña del repositorio.

Para obtener información detallada sobre cada tipo de alerta, consulte Acerca de las alertas de examen de secretos.

Para obtener más información sobre todos los patrones admitidos, consulte la sección Secretos admitidos a continuación.

Si usa la API REST para el secret scanning, puede usar Secret type para informar sobre secretos de emisores específicos. Para más información, consulta Puntos de conexión de la API REST para el examen de secretos.

Si cree que secret scanning debería haber detectado un secreto confirmado en el repositorio y no lo ha hecho, primero debe comprobar que GitHub admite el secreto. Para obtener más información, consulte las secciones siguientes. Para obtener más información sobre la solución avanzada de problemas, consulte Ámbito de detección del análisis de secretos.

Secretos admitidos

En las tablas se enumeran los secretos admitidos por secret scanning para cada tipo de secreto. La información de las tablas puede incluir estos datos:

  • Proveedor: nombre del proveedor de tokens.
  • Partner: token para el que se notifican fugas al partner de token correspondiente. Se aplica a repositorios públicos y a todos los gists, incluidos los gists secretos. Los gists secretos no son privados y cualquier persona con la dirección URL puede acceder a ellos. Consulte Acerca de los gists.
  • Usuario: token para el que se notifican fugas a los usuarios en GitHub.
    • Se aplica a repositorios públicos y a repositorios privados donde GitHub Secret Protection y secret scanning están habilitados.
    • Incluye tokens predeterminados, que se relacionan con patrones admitidos y patrones personalizados especificados, así como tokens que no son de proveedor, como claves privadas, que suelen tener una relación mayor de falsos positivos.
    • Para que secret scanning busque patrones que no son de proveedor, la detección de patrones que no son de proveedor debe estar habilitada para el repositorio o la organización. Para más información, consulta Activar el escaneo de secretos para tu repositorio.
  • Protección contra inserción: token para el que se notifican fugas a los usuarios en GitHub. Se a los repositorios con secret scanning y protección de inserción habilitada.
  • Comprobación de validez: token para el que se implementa una comprobación de validez. Para los tokens de asociado, GitHub envía el token al asociado correspondiente. Ten en cuenta que no todos los asociados tienen su sede en Estados Unidos. Para obtener más información, consulte Advanced Security en la documentación de la directiva de sitio.
  • Comprobación de metadatos: Token para el que están disponibles los metadatos extendidos, lo que proporciona contexto adicional sobre el secreto detectado.
  • Base64: Token para el que se admiten las versiones codificadas en Base64.

Patrones que no son de proveedor

Los niveles de precisión se calculan en función de las tasas típicas de falsos positivos del tipo de patrón.

ProviderTokenDescriptionPrecisión
Genéricoclave_privada_ecClaves privadas de curva elíptica (EC) usadas para operaciones criptográficasHigh
Genéricoclave_privada_genéricaClaves privadas criptográficas con -----BEGIN PRIVATE KEY----- encabezadoHigh
Genéricohttp_basic_authentication_headerCredenciales de autenticación básica HTTP en encabezados de solicitudMedia
Genéricohttp_bearer_authentication_headerTokens de portador HTTP usados para la autenticación de APIMedia
Genéricomongodb_connection_stringCadenas de conexión para bases de datos de MongoDB que contienen credencialesHigh
Genéricomysql_connection_urlCadenas de conexión para bases de datos MySQL que contienen credencialesHigh
Genéricoopenssh_private_keyClaves privadas de formato OpenSSH usadas para la autenticación SSHHigh
Genéricopgp_private_keyClaves privadas de PGP (bastante buena privacidad) usadas para el cifrado y la firmaHigh
Genéricopostgres_connection_stringCadenas de conexión para bases de datos postgreSQL que contienen credencialesHigh
Genéricorsa_private_keyClaves privadas RSA usadas para operaciones criptográficasHigh

Nota:

          **No se admiten** comprobaciones de validez para patrones que no son de proveedor.

Patrones predeterminados

Nota:

Las comprobaciones de validez y metadatos extendidos solo están disponibles para los usuarios con GitHub Team o GitHub Enterprise que activan esta función como parte de GitHub Secret Protection.

ProviderTokenPartnerUsuarioProtección contra el envío de cambiosComprobación de validezComprobación de metadatosBase64
1Password1password_service_account_token

Versiones de token

Los proveedores de servicios actualizan los patrones usados para generar tokens periódicamente y pueden admitir más de una versión de un token. La protección contra inserción solo admite las versiones de token más recientes que secret scanning puede identificar con confianza. Esto evita la inserción de confirmaciones de bloqueo de protección innecesariamente cuando un resultado puede ser un falso positivo, lo que es más probable que se produzca con tokens heredados.

Lectura adicional