El servidor de Model Context Protocol (MCP) de GitHub permite ejecutar el secret scanning directamente desde el modo de agente de GitHub Copilot, CLI de GitHub Copilot, y otras herramientas compatibles con MCP. Escanea tu código en busca de claves expuestas, tokens y credenciales a medida que trabajas, y corrígelas antes de hacer el push.
Las herramientas de análisis de secretos solo están disponibles a través del GitHub servidor MCP remoto. No se admiten configuraciones de servidor MCP locales.
Esto funciona con cualquier agente o IDE compatible con MCP, incluidos Visual Studio Code, JetBrains, Claude Code, Cursor y Windsurf. La experiencia varía en todos los clientes.
Nota:
Los resultados devueltos por los análisis invocados por MCP son efímeros. Se muestran en el chat del agente solo para la sesión actual y no se conservan como alertas en GitHub. Esto significa que estos resultados no aparecerán en la pestaña Seguridad, en la secret scanning lista de alertas o en las API REST/GraphQL para las alertas. Los análisis de MCP deben tratarse como una comprobación de seguridad previa a la confirmación, no como un sistema de registro. Corrija los resultados antes de que se inserten en el repositorio y se conserven en el historial de Git.
Prerequisites
- GitHub Secret Protection está activado para el repositorio.
- GitHub El servidor MCP está conectado en el IDE o el agente. Consulte Configuración del servidor MCP de GitHub.
- La configuración de seguridad de la organización determina qué tipos de secretos se detectan y si se aplica la protección contra inserción. Las herramientas de MCP respetan la configuración de protección contra inserción de su organización (no se utiliza la configuración de protección contra inserción a nivel de repositorio).
Paso 1: Instalar y configurar herramientas
Habilitación del conjunto de secret_protection herramientas
Habilite el secret_protection conjunto de herramientas para que las herramientas de análisis estén disponibles a su agente. Los conjuntos de herramientas predeterminados no lo incluyen.
La run_secret_scanning herramienta está asociada actualmente al copilot conjunto de herramientas en lugar de secret_protection. Debe incluir explícitamente run_secret_scanning como una herramienta adicional, junto con el conjunto de herramientas secret_protection, en su configuración de MCP.
CLI de GitHub Copilot tiene el GitHub servidor MCP integrado:
copilot mcp --toolsets=secret_protection --tools=run_secret_scanning
Agregue el conjunto de herramientas de secret_protection y la run_secret_scanning tool a la configuración de MCP:
{
"servers": {
"github": {
"url": "https://api.githubcopilot.com/mcp/",
"headers": {
"X-MCP-Toolsets": "secret_protection",
"X-MCP-Tools": "run_secret_scanning"
}
}
}
}
{
"servers": {
"github": {
"url": "https://api.githubcopilot.com/mcp/",
"headers": {
"X-MCP-Toolsets": "secret_protection",
"X-MCP-Tools": "run_secret_scanning"
}
}
}
}
En su IDE de JetBrains, edite la configuración del servidor MCP para incluir el conjunto de herramientas secret_protection y los encabezados de herramientas run_secret_scanning. Para obtener más información sobre cómo configurar servidores MCP en JetBrains, consulte Servidor MCP en la documentación de JetBrains.
{
"servers": {
"github": {
"type": "http",
"url": "https://api.githubcopilot.com/mcp/",
"headers": {
"GitHub-MCP-Toolsets": "secret_protection",
"GitHub-MCP-Tools": "run_secret_scanning"
}
}
}
}
{
"servers": {
"github": {
"type": "http",
"url": "https://api.githubcopilot.com/mcp/",
"headers": {
"GitHub-MCP-Toolsets": "secret_protection",
"GitHub-MCP-Tools": "run_secret_scanning"
}
}
}
}
(Opcional) Instalación del Advanced Security complemento
El complemento Advanced Security proporciona un comando de barra diagonal /secret-scanning para una experiencia de análisis simplificada en CLI de GitHub Copilot y Visual Studio Code. El complemento utiliza internamente las herramientas de MCP, por lo que aún tendrá que habilitar el secret_protection conjunto de herramientas.
Instrucciones para instalar el complemento:
- Para CLI de GitHub Copilot, consulte Búsqueda e instalación de complementos para CLI de GitHub Copilot.
- Para Visual Studio Code, consulte Detección e instalación de complementos en la Visual Studio Code documentación.
Paso 2: Examinar el código
Una vez habilitado el conjunto de herramientas, puede desencadenar un examen de varias maneras en función del cliente.
Mensaje de lenguaje natural. En cualquier agente compatible con MCP, puedes preguntar:
"Escanea mis cambios actuales en busca de secretos expuestos y muéstrame los archivos y las líneas que debo actualizar antes de confirmar."
"Ejecutar secret scanning en los archivos que he cambiado desde mi última confirmación y resumir cualquier hallazgo de alta confianza".
Comando de barra diagonal (requiere el complemento Advanced Security). Si instaló el complemento opcional en el paso 1, también puede usar:
"/secret-scanning Revisar la diferencia escalonada de credenciales, claves o tokens y proponer reemplazos mediante variables de entorno".
Invocación directa de herramientas: También puede invocar la herramienta de análisis directamente desde el cliente.
Ejecute copilot --add-github-mcp-tool run_secret_scanning.
Escriba /secret-scanning en Chat de Copiloto.
- En tu IDE, abre Chat de Copiloto
- Haga clic en la pestaña Agente.
- Use una indicación como: "Analizar mis cambios recientes para detectar secretos expuestos antes de confirmar". También puede hacer clic en el icono de herramientas del cuadro de chat para examinar las herramientas disponibles
secret_protectiondirectamente.
El agente devuelve:
- Tipo de secreto encontrado
- El archivo y la línea donde se detectó
- Pasos de corrección, como quitar o rotar la credencial
Si la protección contra inserción está habilitada, el servidor MCP también impide que se incluyan secretos en las acciones que realice en su nombre, como confirmaciones, solicitudes de incorporación de cambios o creación de archivos. Consulte Trabajo con la protección push y el servidor MCP de GitHub.
Solución de problemas
| Problema | Check |
|---|---|
| El examen no devuelve ningún resultado | Compruebe que el secret_protection conjunto de herramientas está habilitado en la configuración de MCP. |
| Repositorio no apto | Secret scanning a través de MCP está disponible para repositorios públicos y requiere que GitHub Secret Protection esté habilitado para repositorios privados e internos. |
| El agente no reconoce la herramienta | Confirme que el IDE o el agente admiten MCP. Consulte Acerca del Protocolo de contexto de modelo (MCP). |
| Resultados de detección inesperados | La configuración de seguridad de la organización controla qué patrones se examinan. Compruebe la configuración de seguridad del repositorio. |
| La herramienta funciona en un cliente, pero no en otro | La experiencia varía en todos los clientes compatibles con MCP. Consulte la documentación de MCP del cliente para conocer las características admitidas. |