Patrones de análisis de secretos admitidos

Listas de los secretos admitidos y los asociados con los que trabaja GitHub para evitar el uso fraudulento de secretos que se confirmaron por accidente.

¿Quién puede utilizar esta característica?

Secret scanning está disponible para los tipos de repositorio siguientes:

  • Repositorios públicos: Secret scanning se ejecuta automáticamente y sin coste.
  • Repositorios privados e internos de la organización: disponibles con GitHub Secret Protection habilitados en GitHub Team o GitHub Enterprise Cloud.
  • Repositorios propiedad del usuario: disponibles en GitHub Enterprise Cloud con Enterprise Managed Users. Disponible en GitHub Enterprise Server cuando la empresa tiene GitHub Secret Protection habilitado.

En este artículo

Acerca de los patrones de secret scanning

Hay dos tipos de alertas de detección de secretos:

          Alertas de examen de secretos de usuario:** se notifica a los usuarios en la **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security** pestaña del repositorio, cuando se detecta un secreto admitido en el repositorio.
  • Alertas de protección de inserción: Se notifica a los usuarios en la Security pestaña del repositorio, cuando un colaborador omite la protección de inserción.

Para obtener información detallada sobre cada tipo de alerta, consulte Acerca de las alertas de examen de secretos.

Para obtener más información sobre todos los patrones admitidos, consulte la sección Secretos admitidos a continuación.

Si usa la API REST para el secret scanning, puede usar Secret type para informar sobre secretos de emisores específicos. Para más información, consulta Puntos de conexión de la API REST para el examen de secretos.

Si cree que secret scanning debería haber detectado un secreto confirmado en el repositorio y no lo ha hecho, primero debe comprobar que GitHub admite el secreto. Para obtener más información, consulte las secciones siguientes. Para obtener más información sobre la solución avanzada de problemas, consulte Ámbito de detección del análisis de secretos.

Secretos admitidos

En las tablas se enumeran los secretos admitidos por secret scanning para cada tipo de secreto. La información de las tablas puede incluir estos datos:

  • Proveedor: nombre del proveedor de tokens.
  • Alerta de Secret scanning: token para el que se notifican fugas a los usuarios en GitHub.
    • Se aplica a los repositorios privados en los que GitHub Secret Protection y secret scanning están habilitados.
    • Incluye tokens predeterminados, que se relacionan con patrones admitidos y patrones personalizados especificados, así como tokens que no son de proveedor, como claves privadas, que suelen tener una relación mayor de falsos positivos.
  • Protección contra inserción: token para el que se notifican fugas a los usuarios en GitHub. Se a los repositorios con secret scanning y protección de inserción habilitada.
  • Comprobación de validez: token para el que se implementa una comprobación de validez. Actualmente solo se aplica a los tokens de GitHub.
  • Comprobación de metadatos: Token para el que están disponibles los metadatos extendidos, lo que proporciona contexto adicional sobre el secreto detectado.
  • Base64: Token para el que se admiten las versiones codificadas en Base64.

Patrones que no son de proveedor

Los niveles de precisión se calculan en función de las tasas típicas de falsos positivos del tipo de patrón.

ProviderTokenDescriptionPrecisión
Genéricohttp_basic_authentication_headerCredenciales de autenticación básica HTTP en encabezados de solicitudMedia
Genéricohttp_bearer_authentication_headerTokens de portador HTTP usados para la autenticación de APIMedia
Genéricomongodb_connection_stringCadenas de conexión para bases de datos de MongoDB que contienen credencialesHigh
Genéricomysql_connection_urlCadenas de conexión para bases de datos MySQL que contienen credencialesHigh
Genéricoopenssh_private_keyClaves privadas de formato OpenSSH usadas para la autenticación SSHHigh
Genéricopgp_private_keyClaves privadas de PGP (bastante buena privacidad) usadas para el cifrado y la firmaHigh
Genéricopostgres_connection_stringCadenas de conexión para bases de datos postgreSQL que contienen credencialesHigh
Genéricorsa_private_keyClaves privadas RSA usadas para operaciones criptográficasHigh

Nota:

          **No se admiten** comprobaciones de validez para patrones que no son de proveedor.

Patrones predeterminados

ProviderTokenSecret scanning de datosProtección contra el envío de cambiosComprobación de validezBase64
Adafruitadafruit_io_key

Versiones de token

Los proveedores de servicios actualizan los patrones usados para generar tokens periódicamente y pueden admitir más de una versión de un token. La protección contra inserción solo admite las versiones de token más recientes que secret scanning puede identificar con confianza. Esto evita la inserción de confirmaciones de bloqueo de protección innecesariamente cuando un resultado puede ser un falso positivo, lo que es más probable que se produzca con tokens heredados.

Lectura adicional