Acerca de la evaluación de alertas
Hay algunas características adicionales que pueden ayudarle a evaluar las alertas para priorizarlas y administrarlas mejor. Ustedes pueden:
- Comprueba la validez de un secreto para ver si sigue activo. Consulte Comprobación de la validez de un secreto.
- Realice una comprobación de validez "a petición" para obtener el estado de validación más actualizado. Consulte Realización de una comprobación de validez a petición.
- Revisa los metadatos de un token. Solo se aplica a GitHub tokens. Por ejemplo, para ver cuándo se usó por última vez el token. Consulte Revisión de los metadatos del GitHub token.
Comprobación de la validez de un secreto
Las comprobaciones de validez te ayudan a priorizar las alertas indicando qué secretos son active o inactive. Un secreto active es aquel que todavía se podría aprovechar, por lo que estas alertas deben revisarse y corregirse como prioridad.
De forma predeterminada, GitHub comprueba la validez de GitHub los tokens y muestra el estado de validación del token en la vista de alertas.
Las organizaciones que usan GitHub Team, GitHub Enterprise Cloud con una licencia para GitHub Secret Protectiono GitHub Enterprise Server con una licencia para GitHub Secret Protection también pueden habilitar comprobaciones de validez para los patrones de asociados. Para obtener más información, consulte Comprobación de la validez de un secreto.
| Validez | Estado | Resultado |
|---|---|---|
| Secreto activo | active | GitHub ha consultado el proveedor de este secreto y ha detectado que el secreto está activo. |
| Secreto posiblemente activo | unknown | GitHub aún no admite comprobaciones de validación para este tipo de token. |
| Secreto posiblemente activo | unknown | GitHub no ha podido comprobar este secreto. |
| Secreto inactivo | inactive | Debes asegurarte de que no se ha producido ningún acceso no autorizado. |
Las comprobaciones de validez de los patrones de asociado están disponibles para los siguientes tipos de repositorio:
- Repositorios propiedad de la organización en GitHub Enterprise Server con GitHub Secret Protection habilitado
Para obtener información sobre cómo habilitar las comprobaciones de validez de los patrones de asociados, consulte Habilitación de comprobaciones de validez para el repositorio y para obtener información sobre qué patrones de asociados se admiten actualmente, consulte Patrones de análisis de secretos admitidos.
Puede habilitar las comprobaciones de validez de los patrones de asociados mediante configuraciones de seguridad, ya sea establecidas en la empresa o en el nivel de organización. Consulte Creación de una configuración de seguridad personalizada para su empresa y Creación de una configuración de seguridad personalizada.
Para obtener información sobre qué patrones de asociados se admiten actualmente, consulte Patrones de análisis de secretos admitidos.
Puede usar la API de REST para recuperar una lista del estado de validación más reciente para cada uno de los tokens. Para más información, consulta Puntos de conexión de la API REST para el examen de secretos en la documentación de la API de REST. También puede utilizar webhooks para recibir notificaciones sobre la actividad relacionada con una alerta secret scanning. Para obtener más información, consulte el evento de secret_scanning_alert en Eventos y cargas de webhook.
Realización de una comprobación de validez a petición
Una vez que haya habilitado las comprobaciones de validez de los patrones de asociados para el repositorio, puede realizar una comprobación de validez "a petición" para cualquier secreto admitido haciendo clic en Comprobar secreto en la vista de alertas. GitHub enviará el patrón al asociado correspondiente y mostrará el estado de validación del secreto en la vista de alertas.
Revisión de los metadatos del GitHub token
Nota:
Los metadatos para los tokens de GitHub están actualmente en versión preliminar pública y están sujetos a cambios.
En la vista de una alerta de token activo GitHub , puede revisar determinados metadatos sobre el token. Estos metadatos pueden ayudarle a identificar el token y decidir qué pasos de corrección se deben realizar.
Los tokens, como personal access token y otras credenciales, se consideran información personal. Para obtener más información sobre cómo usar los GitHub tokens, consulte la Declaración de privacidad de GitHub y las Políticas de uso aceptable.
Los metadatos de los tokens GitHub están disponibles para los tokens activos en cualquier repositorio con la detección de secretos habilitada. Si se ha revocado un token o no se puede validar su estado, los metadatos no estarán disponibles. GitHub Revoca automáticamente los GitHub tokens en repositorios públicos, por lo que es poco probable que los metadatos de GitHub los tokens de los repositorios públicos estén disponibles. Los metadatos siguientes están disponibles para los tokens activos GitHub :
| Metadatos | Description |
|---|---|
| Nombre del secreto | Nombre asignado al GitHub token por su creador |
| Propietario del secreto | El GitHub alias del propietario del token |
| Fecha de creación | Fecha en que se creó el token. |
| Expiró el | Fecha de expiración del token. |
| Fecha de uso más reciente | Fecha en que se usó por última vez el token. |
| Acceso | Si el token tiene acceso a la organización. |
Solo las personas con permisos de administrador en el repositorio que contienen un secreto filtrado pueden ver los detalles de alerta de seguridad y los metadatos del token de una alerta. Los propietarios de empresas pueden solicitar acceso temporal al repositorio para este fin. Si se concede acceso, GitHub notificará al propietario del repositorio que contiene el secreto filtrado, notificará la acción en los registros de auditoría de empresa y propietario del repositorio y habilitará el acceso durante 2 horas.