Acerca de la evaluación de riesgos de secretos

Obtén información sobre por qué es tan importante comprender la exposición de tu organización a las filtraciones de datos y cómo el informe de secret risk assessment proporciona información general sobre la superficie de filtración de secretos de la organización.

¿Quién puede utilizar esta característica?

Secret risk assessment está disponible de forma gratuita para repositorios propiedad de la organización en GitHub Team y GitHub Enterprise

En este artículo

Acerca de la exposición a secretos filtrados

Evaluar la exposición a secretos filtrados es fundamental si deseas evitar lo siguiente:

Explotación de actores malintencionados. Los actores malintencionados pueden usar secretos filtrados, como claves de API, contraseñas y tokens para obtener acceso no autorizado a sistemas, bases de datos e información confidencial. Si se filtran secretos, puede provocar vulneraciones de datos, poner en peligro los datos de usuarios y causar daños financieros y de reputación significativos.
Problemas normativos. Muchos sectores tienen estrictos requisitos normativos para la protección de datos y la filtración de secretos puede dar lugar a la falta de cumplimiento normativo, lo que puede conllevar sanciones legales y multas.
Interrupciones del servicio. El acceso no autorizado a los sistemas puede provocar interrupciones del servicio, lo que afecta a la disponibilidad y confiabilidad de los servicios proporcionados a los usuarios.
Pérdida de confianza. Los clientes esperan medidas de seguridad sólidas para proteger sus datos y la exposición de filtración de secretos puede dañar la confianza en la capacidad de tu organización para proteger la información.
Costosas consecuencias. Solucionar las consecuencias de una filtración de secretos puede ser costoso, lo que implica esfuerzos de respuesta a incidentes, auditorías de seguridad y posibles compensaciones para las partes afectadas.

Evaluar periódicamente la exposición a la filtración de secretos es una buena práctica para ayudar a identificar vulnerabilidades, implementar medidas de seguridad necesarias y asegurarse de que los secretos en peligro se rotan e invalidan rápidamente.

Acerca de secret risk assessment

Note

El informe de secret risk assessment se encuentra actualmente en versión preliminar pública y está sujeto a cambios. Si tienes comentarios o preguntas, únete a la discusión en GitHub Community, te escuchamos.

Tip

Este informe solo está disponible si estás en el plan de GitHub Team. Para obtener información sobre el plan y cómo actualizar, consulta GitHub Team y Actualización del plan de la organización.

GitHub proporciona un informe de evaluación de riesgos secretos que los propietarios de la organización y los administradores de seguridad pueden generar para evaluar la exposición de una organización a secretos filtrados. La secret risk assessment es un examen a petición y a un momento dado del código dentro de una organización que:

Muestra los secretos filtrados dentro de la organización
Muestra los tipos de secretos que se filtran fuera de la organización
Proporciona información procesable para la corrección

El informe de secret risk assessment proporciona las siguientes conclusiones:

Total de secretos: recuento agregado de secretos expuestos detectados en la organización.
Filtraciones públicas: secretos distintos que se encuentran en los repositorios públicos de la organización.
Filtraciones evitables: secretos que podrían haberse protegido, usando características de GitHub Secret Protection como secret scanning y la protección de inserción.
Ubicaciones secretas: ubicaciones que se examinan para el informe. El secret risk assessment gratuito examina solo el código de la organización, incluido el código en repositorios archivados. Puedes ampliar la superficie que se examina para cubrir el contenido de solicitudes de incorporación de cambios, propuestas, wikis y GitHub Discussions con GitHub Secret Protection.
Categorías secretas: distribución de los tipos de secretos que se filtran. Los secretos pueden ser secretos de partners, que son cadenas que coinciden con secretos emitidos por proveedores de servicios en nuestro programa de partners, o secretos genéricos, que son patrones que no son de proveedor, como claves SSH, cadenas de conexión de base de datos y tokens web JSON.
Repositorios con filtraciones: repositorios en los que se detectaron secretos filtrados, de todos los repositorios examinados.

Tip

Solo puedes generar el informe una vez cada 90 días. Se recomienda implementar GitHub Secret Protection para la supervisión y prevención continuas de secretos. Consulta Elección de GitHub Secret Protection.

Dado que el informe de secret risk assessment se basa en los repositorios, independientemente del estado de habilitación de las características de GitHub Secret Protection, puedes ver la exposición actual a secretos filtrados y comprender mejor cómo GitHub puede ayudarte a evitar futuras filtraciones de secretos.

Pasos siguientes

Ahora que sabes sobre el informe secret risk assessment, puede que quieras aprender a:

Generar el informe para ver el riesgo de tu organización. Consulta Visualización del informe de evaluación de riesgos secretos para tu organización.
Interpretar los resultados del informe. Consulta Interpretación de los resultados de la evaluación de riesgos de secretos.
Habilita GitHub Secret Protection para mejorar la superficie de filtración de secretos. Consulta Elección de GitHub Secret Protection.