About secret scanning for partners

When secret scanning detects authentication details for a service provider in a public repository on GitHub, an alert is sent directly to the provider. This allows service providers who are GitHub partners to promptly take action to secure their systems.

¿Quién puede utilizar esta característica?

Alertas de examen de secretos para asociados se ejecuta de manera predeterminada en los repositorios siguientes:

  • Repositorios públicos y paquetes npm públicos en GitHub.

En este artículo

About alertas de examen de secretos para asociados

GitHub scans public repositories and public npm packages for secrets issued by specific service providers who joined our partnership program, and alerts the relevant service provider whenever a secret is detected in a commit. The service provider validates the string and then decides whether they should revoke the secret, issue a new secret, or contact you directly. Their action will depend on the associated risks to you or them. Para obtener información sobre nuestro programa de asociados, consulta Programa asociado del escaneo de secretos.

Nota:

You cannot change the configuration of secret scanning for partner patterns on public repositories.

Alertas de examen de secretos para asociados scans:

  • Descripciones y comentarios sobre problemas
  • Títulos, descripciones y comentarios, en propuestas históricas abiertas y cerradas. Se envía una notificación al asociado correspondiente cuando se detecta un patrón de asociado histórico.
  • Títulos, descripciones y comentarios de la solicitud de cambios
  • Títulos, descripciones y comentarios en GitHub Discussions
  • Wikis
  • Gists secretos. Se envía una notificación al socio relevante cuando se detecta un patrón de socio en un gist secreto.

The reason partner alerts are directly sent to the secret providers whenever a leak is detected for one of their secrets is that this enables the provider to take immediate action to protect you and protect their resources. The notification process for regular alerts is different. Regular alerts are displayed on the repository's Security tab on GitHub for you to resolve.

Si el acceso a un recurso requiere credenciales emparejadas, la exploración de secretos creará una alerta solo cuando se detecten las dos partes del par en el mismo archivo. Esto garantiza que las fugas más críticas no queden ocultas detrás de la información sobre fugas parciales. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par deben usarse juntos para acceder al recurso del proveedor.

What are the supported secrets

For information about the secrets and service providers supported by push protection, see Patrones de examen de secretos admitidos.

Further reading