Exploración de la versión de prueba empresarial de GitHub Secret Protection

Introducción a las características disponibles con GitHub Secret Protection en GitHub Enterprise Cloud para que puedas evaluar si se ajusta a tus necesidades empresariales.

En este artículo

En esta guía se presupone que has planificado e iniciado una evaluación de GitHub Advanced Security para una cuenta empresarial de GitHub existente o de prueba. Consulta Planificación de una evaluación de GitHub Advanced Security.

Introducción

Las características de GitHub Secret Protection funcionan de la misma manera en repositorios privados e internos que en todos los repositorios públicos. Este artículo se centra en la funcionalidad adicional que puedes usar para proteger tu empresa frente a pérdidas de seguridad al usarGitHub Secret Protection, es decir:

  • Identifica tokens de acceso adicionales que usas mediante la definición de patrones personalizados.
  • Detectar posibles contraseñas mediante IA.
  • Controla y audita el proceso de omisión para la protección de inserción y alertas de examen de secretos.
  • Habilitar comprobaciones de validez para los tokens expuestos.

Si ya has examinado el código de la organización para detectar secretos filtrados mediante la evaluación de riesgos de secretos gratuita, también querrás explorar esos datos más en profundidad con las vistas adicionales en la pestaña Seguridad de la organización.

Para obtener más información de las características disponibles, consulta GitHub Secret Protection.

Configuración de seguridad para Secret Protection

La mayoría de las empresas eligen habilitar Secret Protection con la protección de inserción en todos sus repositorios aplicando configuraciones de seguridad con estas características habilitadas. Esto garantiza que se comprueben los repositorios en busca de tokens de acceso que ya se hayan agregado a GitHub, además de marcar cuándo los usuarios están a punto de filtrar tokens en GitHub. Para obtener información sobre cómo crear una configuración de seguridad para toda la empresa y cómo aplicarla a los repositorios de prueba, consulta Habilitación de características de seguridad en la empresa de prueba.

Provisión de acceso para ver los resultados de secret scanning

De forma predeterminada, solo el administrador del repositorio y el propietario de la organización pueden ver todas las alertas de secret scanning en su área. Debes asignar el rol predefinido de administrador de seguridad a todos los equipos y usuarios de la organización que quieres que accedan a las alertas que se encuentren durante la prueba. Es posible que también quieras conceder este rol al propietario de la cuenta empresarial de cada una de las organizaciones de la prueba. Para más información, consulta Gestionar a los administradores de seguridad en tu organización.

Puedes ver un resumen de los resultados que se encuentren en las organizaciones de tu empresa de prueba en la pestaña Seguridad de la empresa. También hay vistas independientes para cada tipo de alerta de seguridad. Consulta Visualización de información de seguridad.

Identificación de tokens de acceso adicionales

Puedes crear patrones personalizados para identificar tokens de acceso adicionales en el repositorio, la organización y la empresa. En la mayoría de los casos, debes definir patrones personalizados a nivel de empresa, ya que esto garantizará que los patrones se usen en toda la empresa. También hará que sean fáciles de mantener en caso de que necesites actualizar un patrón cuando cambie el formato de un token.

Una vez creados y publicados los patrones de datos, tanto secret scanning como la protección de inserción incluirán automáticamente los nuevos patrones en todos los análisis. Para más información sobre cómo crear patrones personalizados, consulta Definición de patrones personalizados para el examen de secretos.

Uso de IA para detectar posibles contraseñas

A nivel de empresa, tienes control total sobre si se permite o no el uso de inteligencia artificial para detectar secretos que no se puedan identificar mediante expresiones regulares (también denominados "secretos genéricos" o "patrones que no son de proveedor").

  • Activa o desactiva la característica para toda la empresa.
  • Establece una directiva para bloquear el control de la característica a nivel de organización y repositorio.
  • Establece una directiva para permitir que los propietarios de la organización o los administradores del repositorio controlen la característica.

De forma similar a los patrones personalizados, si habilitas la detección mediante IA, tanto secret scanning como la protección de inserción comenzarán automáticamente a usar la detección mediante IA en todos los análisis. Para obtener información sobre el control a nivel empresarial, consulta Configuración de opciones adicionales de examen de secretos para tu empresa y Aplicación de directivas de seguridad y análisis de código de la empresa.

Control y auditoría del proceso de omisión

Cuando la protección de inserción bloquea una inserción en GitHub en un repositorio público sin GitHub Secret Protection, el usuario tiene dos opciones sencillas: omitir el control o quitar el contenido resaltado de la rama y su historial. Si opta por omitir la protección de inserción, se crea automáticamente una alerta de secret scanning. Esto permite a los desarrolladores desbloquear rápidamente su trabajo, al tiempo que proporciona una pista de auditoría para el contenido identificado por secret scanning.

Los equipos grandes suelen querer mantener un mayor control sobre la posible publicación de tokens de acceso y otros secretos. Con GitHub Secret Protection, puedes definir un grupo de revisores que aprueben las solicitudes para omitir la protección de inserción, lo que reduce el riesgo de que un desarrollador filtre accidentalmente un token que todavía esté activo. También puedes definir un grupo de revisores para aprobar solicitudes para descartar alertas de examen de secretos.

Los revisores se definen en una configuración de seguridad a nivel de organización o en la configuración del repositorio. Para más información, consulta Acerca de la omisión delegada para la protección de inserción.

Habilitación de comprobaciones de validez

Puedes habilitar comprobaciones de validez para saber si los tokens detectados siguen activos en el repositorio, la organización y la empresa. Por lo general, merece la pena habilitar esta característica en toda la empresa mediante configuraciones de seguridad a nivel de empresa u organización. Para más información, consulta Habilitación de comprobaciones de validez para el repositorio.

Pasos siguientes

Cuando hayas habilitado los controles adicionales para Secret Protection, ya puedes probarlos para saber si se ajustan a tus necesidades empresariales y explorarlos en mayor detalle. También puedes estar listo para examinar las opciones disponibles con GitHub Code Security.