Visualización del informe de evaluación de riesgos secretos para tu organización

Puedes generar y ver el informe de secret risk assessment de tu organización desde la pestaña "Seguridad".

¿Quién puede utilizar esta característica?

Organization owners and security managers

En este artículo

GitHub proporciona un informe de evaluación de riesgos secretos que los propietarios de la organización y los administradores de seguridad pueden generar para evaluar la exposición de una organización a secretos filtrados. La secret risk assessment es un examen a petición y a un momento dado del código dentro de una organización que:

  • Muestra los secretos filtrados dentro de la organización
  • Muestra los tipos de secretos que se filtran fuera de la organización
  • Proporciona información procesable para la corrección Para obtener más información sobre el informe, consulta Acerca de la evaluación de riesgos de secretos.

Puedes generar el informe de secret risk assessment para tu organización, revisarlo y exportar los resultados a CSV.

Note

El informe de secret risk assessment se encuentra actualmente en versión preliminar pública y está sujeto a cambios. Si tienes comentarios o preguntas, únete a la discusión en GitHub Community, te escuchamos.

Generación de un secret risk assessment inicial

  1. En GitHub, navega a la página principal de tu organización.

  2. En el nombre de la organización, haga clic en Seguridad .

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. En la barra lateral, en "Seguridad", haz clic en Evaluaciones. 1. Para generar secret risk assessment, haz clic en Examinar tu organización.

Si eres propietario de la organización y has optado por recibir notificaciones por correo electrónico, GitHub te enviará un correo electrónico para informarte cuendo el informe está listo para verlo.

¿Has creado correctamente el informe de secret risk assessment para tu organización?

No

Volver a ejecutar secret risk assessment

Tip

Solo puedes generar el informe una vez cada 90 días. Se recomienda implementar GitHub Secret Protection para la supervisión y prevención continuas de secretos. Consulta Elección de GitHub Secret Protection.

  1. En GitHub, navega a la página principal de tu organización.

  2. En el nombre de la organización, haga clic en Seguridad .

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. En la barra lateral, en "Seguridad", haz clic en Evaluaciones.

  4. Hacia el lado superior derecho del informe existente, haz clic en .

  5. Selecciona Volver a ejecutar el examen.

    Si eres propietario de la organización y has optado por recibir notificaciones por correo electrónico, GitHub te enviará un correo electrónico para informarte cuendo el informe está listo para verlo.

Visualización de secret risk assessment

  1. En GitHub, navega a la página principal de tu organización.

  2. En el nombre de la organización, haga clic en Seguridad .

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. En la barra lateral, en "Seguridad", haz clic en Evaluaciones. Puedes ver el informe más reciente en esta página.

Exportación de secret risk assessment a CSV

  1. En GitHub, navega a la página principal de tu organización.

  2. En el nombre de la organización, haga clic en Seguridad .

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. En la barra lateral, en "Seguridad", haz clic en Evaluaciones.

  4. En la parte superior derecha del informe, haz clic en .

  5. Selecciona Descargar archivo CSV.

El archivo CSV de secret risk assessment incluye la siguiente información.

Columna CSVNombreDescripción
AOrganization NameNombre de la organización en la que se detectó el secreto
B
                | `Name`                 | Nombre del token para el tipo de secreto |

| C | Slug | Cadena normalizada para el token. Esto corresponde a Token en la tabla de secretos admitidos. Consulta Patrones de examen de secretos admitidos. | | D | Push Protected | boolean para indicar si el secreto se detectaría y bloquearía mediante la protección de inserción si estuviera habilitada | | E | Non-Provider Pattern | boolean que indica si el secreto coincide con un patrón que no es de proveedor y generaría una alerta si se habilitó secret scanning con patrones que no son de proveedor | | F | Secret Count | Recuento agregado de los secretos activos e inactivos encontrados para el tipo de token | | G | Repository Count | Recuento agregado de repositorios distintos en los que se encontró el tipo de secreto, incluidos los repositorios públicos, privados, y repositorios archivados |

Pasos siguientes

Ahora que has generado secret risk assessment para tu organización, aprende a interpretar los resultados. Consulta Interpretación de los resultados de la evaluación de riesgos de secretos.