Defining custom patterns for secret scanning

Protect your unique secret types by defining custom patterns with regular expressions.

¿Quién puede utilizar esta característica?

Propietarios de repositorios, propietarios de organizaciones, administradores de seguridad y usuarios con el rol de administrador

Repositorios propiedad de la organización en GitHub Team o GitHub Enterprise con GitHub Secret Protection habilitado

Phase 5: Scale, customize, and automate

Artículo 2 de 6
Siguiente:Enabling delegated bypass for push protection

En este artículo

Defining a custom pattern with Copilot

You can use detección de secretos de Copilot to generate regular expressions based on a text description of the type of pattern you would like to detect, including optional example strings that should be detected. See Generación de expresiones regulares para patrones personalizados con el análisis de secretos de Copilot.

Defining a custom pattern for a repository

Before defining a custom pattern, you must ensure that Secret Protection is enabled on your repository. For more information, see Enabling secret scanning for your repository.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. Debajo del nombre del repositorio, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Security" de la barra lateral, haz clic en Advanced Security.

  4. Under "Secret Protection", to the right of "Custom patterns", click New pattern.

  5. Escribe los detalles del nuevo patrón personalizado. Debes proporcionar por lo menos el nombre de tu patrón y una expresión regular para el formato de tu patrón secreto.

    1. En el campo "Nombre de patrón", escribe un nombre para el patrón.
    2. En el campo "Formato secreto", escriba una expresión regular para el formato del patrón secreto.
    3. Puedes hacer clic en More options para proporcionar otro tipo de contenido circundante o requisitos de coincidencia adicionales para el formato del secreto. Consulta Referencia de patrones personalizados.
    4. Proporciona una secuencia de pruebas de muestra para asegurarte de que tu configuración empate con los patrones que esperas.

    Captura de pantalla de un formulario de patrón de secret scanning personalizado rellenado.

  6. When you're ready to test your new custom pattern, to identify matches in the repository without creating alerts, click Save and dry run.

  7. Cuando termine el simulacro verás un ejemplo de los resultados (hasta 1000). Revisa los resultados e identifica cualquier falso positivo.

    Captura de pantalla en la que se muestran los resultados de un simulacro.

  8. Edita el nuevo patrón personalizado para corregir cualquier problema con los resultados y, después, haz clic en Guardar y realizar simulacro para probar los cambios.

  9. Cuando el nuevo patrón personalizado sea satisfactorio, haz clic en Publicar patrón.

  10. Optionally, to enable push protection for your custom pattern, click Enable. For more information, see Push protection.

    Nota:

    The "Enable" button isn't available until after the dry run succeeds and you publish the pattern.

After your pattern is created, El secret scanning escanea cualquier secreto en el total de tu historial de Git en todas las ramas presentes de tu repositorio de GitHub. For more information on viewing alertas de detección de secretos, see Administración de alertas de examen de secretos.

Defining a custom pattern for an organization

Before defining a custom pattern, you must ensure that you enable secret scanning for the repositories that you want to scan in your organization. You can use security configurations to enable secret scanning on all repositories in your organization. For more information, see Enabling security features at scale.

  1. En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.

  2. Seleccione una organización haciendo clic en ella.

  3. Debajo del nombre de la organización, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de las pestañas en el perfil de una organización. La pestaña "Configuración" se destaca en naranja oscuro.

  4. In the "Security" section of the sidebar, select the Advanced Security dropdown menu, then click Global settings.

  5. En "Patrones personalizados", haga clic en Nuevo patrón.

  6. Escribe los detalles del nuevo patrón personalizado. Debes proporcionar por lo menos el nombre de tu patrón y una expresión regular para el formato de tu patrón secreto.

    1. En el campo "Nombre de patrón", escribe un nombre para el patrón.
    2. En el campo "Formato secreto", escriba una expresión regular para el formato del patrón secreto.
    3. Puedes hacer clic en More options para proporcionar otro tipo de contenido circundante o requisitos de coincidencia adicionales para el formato del secreto. Consulta Referencia de patrones personalizados.
    4. Proporciona una secuencia de pruebas de muestra para asegurarte de que tu configuración empate con los patrones que esperas.

    Captura de pantalla de un formulario de patrón de secret scanning personalizado rellenado.

  7. When you're ready to test your new custom pattern, to identify matches in select repositories without creating alerts, click Save and dry run.

  8. Seleccione los repositorios en los que desea realizar el simulacro.

    • Para realizar la ejecución en seco en toda la organización, seleccione Todos los repositorios de la organización.
    • Para especificar los repositorios en los que desea realizar el simulacro, seleccione Repositorios seleccionados, busque y seleccione hasta 10 repositorios.

  9. Cuando tenga todo listo para probar el nuevo patrón personalizado, haga clic en Ejecutar.

  10. Cuando termine el simulacro verás un ejemplo de los resultados (hasta 1000). Revisa los resultados e identifica cualquier falso positivo.

    Captura de pantalla en la que se muestran los resultados de un simulacro.

  11. Edita el nuevo patrón personalizado para corregir cualquier problema con los resultados y, después, haz clic en Guardar y realizar simulacro para probar los cambios.

  12. Cuando el nuevo patrón personalizado sea satisfactorio, haz clic en Publicar patrón.

  13. Optionally, to enable push protection for your custom pattern, click Enable. For more information, see Push protection.

    Nota:

    • La opción para habilitar la protección de empuje solo es visible para los patrones publicados.
    • La protección de inserción para patrones personalizados solo se aplicará a los repositorios de tu organización que tengan secret scanning como protección de inserción habilitada.
    • La habilitación de la protección de inserción para patrones personalizados que se encuentran habitualmente puede ser perjudicial para los colaboradores.

After your pattern is created, secret scanning scans for any secrets in repositories in your organization, including their entire Git history on all branches. Organization owners and repository administrators will be alerted to any secrets found and can review the alert in the repository where the secret is found. For more information on viewing alertas de detección de secretos, see Administración de alertas de examen de secretos.

Defining a custom pattern for an enterprise account

Nota:

  • At the enterprise level, only the creator of a custom pattern can edit the pattern, and use it in a dry run.
  • Solo puedes realizar un simulacro en repositorios a los que tengas acceso de administración. Si un propietario de empresa quiere acceso para realizar simulacros en cualquier repositorio de una organización, se le debe asignar el rol de propietario de la organización. Para más información, consulta Administración de tu rol en una organización que pertenece a tu empresa.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.

  2. En la parte superior de la página, haz clic en Policies.

  3. En "Directivas", haz clic en Advanced SecurityCode security.

  4. Under "Advanced SecurityCode security", click Security features.

  5. Under "Secret scanning custom patterns", click New pattern.

  6. Escribe los detalles del nuevo patrón personalizado. Debes proporcionar por lo menos el nombre de tu patrón y una expresión regular para el formato de tu patrón secreto.

    1. En el campo "Nombre de patrón", escribe un nombre para el patrón.
    2. En el campo "Formato secreto", escriba una expresión regular para el formato del patrón secreto.
    3. Puedes hacer clic en More options para proporcionar otro tipo de contenido circundante o requisitos de coincidencia adicionales para el formato del secreto. Consulta Referencia de patrones personalizados.
    4. Proporciona una secuencia de pruebas de muestra para asegurarte de que tu configuración empate con los patrones que esperas.

    Captura de pantalla de un formulario de patrón de secret scanning personalizado rellenado.

  7. When you're ready to test your new custom pattern, to identify matches in the enterprise without creating alerts, click Save and dry run.

  8. Busca y selecciona hasta 10 repositorios en los que quieras realizar el simulacro.

  9. Cuando tenga todo listo para probar el nuevo patrón personalizado, haga clic en Ejecutar.

  10. Cuando termine el simulacro verás un ejemplo de los resultados (hasta 1000). Revisa los resultados e identifica cualquier falso positivo.

    Captura de pantalla en la que se muestran los resultados de un simulacro.

  11. Edita el nuevo patrón personalizado para corregir cualquier problema con los resultados y, después, haz clic en Guardar y realizar simulacro para probar los cambios.

  12. Cuando el nuevo patrón personalizado sea satisfactorio, haz clic en Publicar patrón.

  13. Optionally, to enable push protection for your custom pattern, click Enable. For more information, see Push protection.

    Nota:

    • Para habilitar la protección de inserción para patrones personalizados, secret scanning porque la protección de inserción debe habilitarse en el nivel empresarial.
    • La habilitación de la protección de inserción para patrones personalizados que se encuentran habitualmente puede ser perjudicial para los colaboradores.

After your pattern is created, secret scanning scans for any secrets in repositories within your organizations with GitHub Secret Protection enabled, including their entire Git history on all branches. Organization owners and repository administrators will be alerted to any secrets found, and can review the alert in the repository where the secret is found. For more information on viewing alertas de detección de secretos, see Administración de alertas de examen de secretos.

Applying a custom security configurationEnabling delegated bypass for push protection