Acerca de las comprobaciones de validez
Las comprobaciones de validez, una característica de secret scanning, comprueban si un secreto detectado sigue activo y podría ser explotado. Esto le ayuda a priorizar la corrección al centrarse primero en los secretos que se han confirmado como activos.
Puede habilitar comprobaciones de validez automática para secretos detectados. Una vez habilitado, GitHub comprobará periódicamente la validez de una credencial detectada mediante el envío del secreto al emisor y la probará con las API proporcionadas por ese servicio. Las comprobaciones de validez están disponibles para secretos de muchos proveedores de servicios y el soporte continúa expandiéndose a medida que GitHub se asocia con servicios adicionales.
GitHub prioriza la privacidad al comprobar la validez de la credencial. Normalmente realizamos solicitudes GET, seleccionamos los puntos de conexión menos intrusivos y seleccionamos los puntos de conexión que no devuelven ninguna información personal.
GitHub muestra el estado de validación del secreto en la vista de alerta, por lo que puede ver si el secreto es , activeo si el estado de validación es .inactive``unknown Opcionalmente, puede realizar una comprobación de validez "a petición" para el secreto en la vista de alertas.
Acerca de las comprobaciones de metadatos extendidas
Nota:
Las comprobaciones de metadatos extendidas en las configuraciones de seguridad se encuentran actualmente en versión preliminar pública y están sujetas a cambios.
Las comprobaciones de metadatos extendidas proporcionan información contextual adicional sobre los secretos detectados. A menudo se conocen como analizadores en otras herramientas.
Puede habilitar comprobaciones de metadatos extendidas si están habilitadas las comprobaciones de validez. A continuación, obtendrá información que le ayudará a:
-
**Obtenga información más detallada sobre los secretos detectados**: saber quién es el propietario de un secreto. -
**Priorizar la corrección**: comprenda el ámbito y el impacto de cada secreto expuesto. -
**Mejora de la respuesta a incidentes**: identifique rápidamente a los equipos responsables o a las personas cuando se filtre un secreto. -
**Mejorar el cumplimiento**: asegúrese de que los secretos se alinean con las directivas de seguridad y gobernanza de su organización. -
**Reducir falsos positivos**: use contexto adicional para determinar si una detección requiere acción.
Los metadatos específicos disponibles dependen de lo que comparte el proveedor de servicios con GitHub. No todos los tipos de secretos admiten comprobaciones de metadatos extendidas. Para más información, consulta Evaluación de alertas del análisis de secretos.
Introducción a la validez y las comprobaciones de metadatos extendidas
Puede habilitar la validez y las comprobaciones de metadatos extendidas en el nivel de repositorio, organización o empresa para ayudar a priorizar qué credenciales expuestas suponen los riesgos de seguridad más inmediatos.
Para organizaciones grandes, se recomienda usar configuraciones de seguridad para habilitar estas características en el nivel de organización o de empresa. Las configuraciones de seguridad permiten administrar de forma centralizada secret scanning y aplicarlas de forma coherente en muchos repositorios.
Para empezar:
- Para ver los repositorios, consulte Habilitación de comprobaciones de validez para el repositorio.
- Para una organización, consulte Creación de una configuración de seguridad personalizada.
- Para una empresa, consulte Creación de una configuración de seguridad personalizada para su empresa.