Skip to main content

Monitorización pública para la detección de secretos

La supervisión pública detecta las credenciales filtradas por los miembros de la empresa en repositorios públicos en GitHub, lo que proporciona visibilidad de la exposición secreta más allá de los límites de la empresa.

¿Quién puede utilizar esta característica?

Public monitoring is available for enterprises on GitHub Enterprise Cloud with GitHub Advanced Security or GitHub Secret Protection enabled. Public monitoring is not available for Nube de GitHub Enterprise con residencia de datos.

Nota:

La supervisión pública de secret scanning se encuentra actualmente en versión preliminar pública y está sujeta a cambios. Si tiene comentarios, únase a la discusión.

Acerca de la supervisión pública

GitHub supervisa los secretos filtrados GitHub en tiempo real. La monitorización pública atribuye a su empresa los secretos expuestos públicamente, en función de dónde hace commits su equipo.

Secret scanning detecta secretos en repositorios que posee su empresa. La supervisión pública amplía esta detección a los secretos encontrados en repositorios públicos arbitrarios en GitHub.com, independientemente de si su empresa posee o no el repositorio donde se ha filtrado.

Esto proporciona a los administradores de seguridad empresarial visibilidad sobre la exposición de credenciales que, de lo contrario, no conocerían, lo que ayuda a identificar posibles riesgos y secretos filtrados que podrían aprovechar los actores incorrectos.

Funcionamiento de la supervisión pública

La supervisión de recursos públicos analiza repositorios públicos, incluido contenido no relacionado con el código, como los comentarios de incidencias y solicitudes de incorporación de cambios en GitHub, para detectar secretos asociados a su empresa. Cuando se detecta un secreto, se muestra una alerta en la información general de seguridad de nivel empresarial.

Métodos de atribución

La supervisión pública usa dos métodos para asociar secretos detectados a su empresa:

  • Pertenencia a la empresa: Secretos filtrados por usuarios que son miembros de su empresa
  • Coincidencia con dominio verificado: Secretos expuestos por usuarios cuya dirección de correo electrónico coincide con un dominio verificado de su organización, incluso si no son miembros directos de la organización

Ambos métodos de atribución están activos cuando se habilita la supervisión pública.

Requirements

Para usar la supervisión pública, la empresa debe:

  • Tener GitHub Advanced Security o GitHub Secret Protection habilitado