Análisis de secretos
Las credenciales expuestas en los sistemas de ingeniería proporcionan oportunidades fáciles de aprovechar para los atacantes. Para defenderse de esta amenaza, la herramienta de examen de secretos GitHub Advanced Security para Azure DevOps busca credenciales y otro contenido confidencial en el código fuente. La protección contra inserción también impide que se filtren las credenciales.
El examen de secretos del repositorio busca secretos que ya existan en el código fuente en todo el historial y la protección contra inserción impide que se expongan nuevos secretos en el código fuente.
GitHub Advanced Security para Azure DevOps funciona con Azure Repos. Si quiere usar GitHub Advanced Security con repositorios de GitHub, vea GitHub Advanced Security.
Acerca de las alertas de examen de secretos
Cuando se habilita Advanced Security, examina los repositorios en busca de secretos emitidos por una gran variedad de proveedores de servicios y genera alertas de examen de secretos.
Si para el acceso a un recurso se necesitan credenciales emparejadas, el examen de secretos puede crear una alerta solo cuando se detecten las dos partes del par en el mismo archivo. El emparejamiento garantiza que las fugas más críticas no se oculten detrás de información sobre fugas parciales. La coincidencia de pares también ayuda a reducir los falsos positivos, ya que los dos elementos de un par se deben usar de manera conjunta para acceder al recurso del proveedor.
La pestaña Advanced Security de Repos>Advanced Security en Azure DevOps es el centro para ver las alertas de seguridad. Seleccione la pestaña Secretos para ver las alertas de examen de secretos. Puede filtrar por estado y tipo de secreto. Puede navegar a una alerta para obtener más detalles, incluida la guía de corrección. Una vez que haya habilitado Advanced Security, se inicia un examen del repositorio seleccionado, incluidas todas las confirmaciones históricas. Con el tiempo, a medida que avanza el examen comenzarán a aparecer alertas.
No hay ningún impacto en los resultados si se cambia el nombre de las ramas: pueden pasar hasta 24 horas antes de que se muestre el nuevo nombre.
Para corregir los secretos expuestos, invalide la credencial expuesta y cree una en su lugar. Después, el secreto recién creado se debe almacenar de forma segura para que no se vuelva a insertar directamente en el código. Por ejemplo, el secreto se podría almacenar en Azure Key Vault. La mayoría de los recursos tienen una credencial principal y una secundaria. El método para implementar una credencial principal frente a una secundaria es idéntico, a menos que se indique lo contrario.
Administración de alertas de examen de secretos
Visualizar las alertas para un repositorio
Cualquier usuario con permisos de colaborador en un repositorio puede ver un resumen de todas las alertas de un repositorio en la pestaña Seguridad avanzada de Repositorios. Seleccione la pestaña Secretos para ver las alertas de examen de secretos.
Si Advanced Security se ha habilitado recientemente para el repositorio, es posible que vea una tarjeta que indica que sigue examinando el repositorio.
Una vez que se complete el examen, se muestran los resultados. Se genera una sola alerta para cada credencial única detectada, en todas las ramas y el historial del repositorio. No hay filtros de rama, ya que se acumulan en una alerta.
Los secretos que no son de proveedor se pueden ver seleccionando "Otros" en la lista desplegable de confianza de la pestaña de análisis de secretos.
Detalles de alertas
Al navegar a una alerta, aparece una vista de alerta detallada, se muestran más detalles sobre la búsqueda y se proporcionan instrucciones de corrección específicas para resolver la alerta.
| Sección | Explicación |
|---|---|
| Location | En la sección Ubicaciones se detallan las rutas de acceso en las que el examen de secretos ha detectado la credencial filtrada. Puede haber varias ubicaciones o varias confirmaciones en el historial que contengan la credencial filtrada. Todas estas ubicaciones y confirmaciones se muestran en Ubicaciones con un vínculo directo al fragmento de código y la confirmación en la que se ha identificado. |
| Recomendación | La sección de recomendaciones contiene una guía de corrección o un vínculo a una guía de corrección de documentación de terceros para la credencial identificada. |
| Cerrar alerta | No hay ningún comportamiento de corrección automática para las alertas de examen de secretos. Todas las alertas de examen de secretos se deben evaluar manualmente como corregidas desde la página de detalles de la alerta. Seleccione el botón Cerrar para comprobar que se ha revocado el secreto. |
| severity | Todas las alertas de examen de secretos se establecen como críticas. Cualquier credencial expuesta es potencialmente una oportunidad para un actor malintencionado. |
| Búsqueda de detalles | El tipo de credencial y regla que se usa para buscarla se muestran en la barra lateral Buscar detalles de la página de detalles de la alerta. |
Con secretos que no son de proveedor, la etiqueta Confianza: otra también aparece mediante el distintivo de gravedad en la vista de detalles de la alerta.
Corrección de alertas de examen de secretos
Cada secreto tiene pasos de corrección únicos para guiarle sobre cómo revocar y regenerar un nuevo secreto en su lugar. Los detalles de la alerta comparten pasos o documentación específicos para cada alerta.
Una alerta de examen de secretos permanece abierta hasta que se cierre. Para comprobar que se ha corregido una alerta de examen de secretos:
- Vaya a la alerta que quiera cerrar y selecciónela.
- Seleccione el menú desplegable Cerrar alerta.
- Si todavía no está seleccionado, seleccione Corregido.
- Seleccione Cerrar para enviar la alerta y cerrarla.
Descarte de alertas de examen de secretos
Para descartar alertas en Advanced Security, necesita los permisos adecuados. De manera predeterminada, solo los administradores de proyectos pueden descartar alertas de seguridad avanzada. Para más información sobre los permisos de Advanced Security, vea Administración de permisos de Advanced Security.
Para descartar una alerta:
- Vaya a la alerta que quiere cerrar y selecciónela.
- Seleccione el menú desplegable Cerrar alerta.
- Si aún no está seleccionado, seleccione Riesgo aceptado o Falso positivo como motivo del cierre.
- Agregue un comentario opcional en el cuadro de texto Comentario.
- Seleccione Cerrar para enviar y cerrar la alerta.
- El estado de la alerta cambia de Abierto a Cerrado y muestra el motivo del cierre.
Cualquier alerta que se haya cerrado anteriormente se puede volver a abrir de forma manual.
Asegurar los secretos en riesgo
Cuando un secreto se haya confirmado en un repositorio, está en riesgo. Microsoft recomienda las siguientes acciones para los secretos en peligro:
- Para un token de acceso personal de Azure DevOps en peligro, elimínelo, cree otros y actualice los servicios que usan el token anterior.
- Para todos los demás secretos, compruebe primero que el secreto confirmado en Azure Repos es válido. Si es así, cree un secreto, actualice los servicios que usan el secreto anterior y, después, elimine el secreto anterior.
- Identifique las acciones realizadas por el token en peligro en los recursos de la empresa.
Al actualizar un secreto, asegúrese de almacenar el nuevo secreto de forma segura y de que siempre se accede a él y nunca se almacena como texto no cifrado. Esto se puede realizar desde Azure Key Vault u otras soluciones de administración de secretos.
Protección contra inserción de secretos
La protección contra inserción comprueba si en las inserciones entrantes hay secretos de alta confianza y evita que se realicen. Un mensaje de error muestra todos los secretos identificados para que los quite, o bien continúe con su inserción si es necesario.
Acerca de las alertas de protección de inserción
Las alertas de protección contra inserción son alertas de usuario notificadas por la protección contra inserción. El examen de secretos como protección contra inserción examina actualmente los repositorios en busca de secretos emitidos por algunos proveedores de servicios.
Si para el acceso a un recurso se necesitan credenciales emparejadas, el examen de secretos puede crear una alerta solo cuando se detecten las dos partes del par en el mismo archivo. El emparejamiento garantiza que las fugas más críticas no se oculten detrás de información sobre fugas parciales. La coincidencia de pares ayuda a reducir los falsos positivos, ya que ambos elementos de un par deben usarse juntos para acceder al recurso del proveedor.
Es posible que la protección contra inserción no bloquee versiones anteriores de ciertos tokens, ya que estos tokens pueden generar un número mayor de falsos positivos que su versión más reciente. Es posible que la protección contra inserción tampoco bloquee los tokens heredados. En el caso de tokens como claves de Azure Storage, Advanced Security solo admite tokens creados recientemente, no los que coincidan con los patrones heredados.
Protección contra inserción desde la línea de comandos
La protección contra inserción se integra de forma nativa en Git de Azure DevOps. Si las confirmaciones contienen un secreto identificado, verá un error que indica que la inserción se ha rechazado.
Protección contra inserción desde la interfaz web
La protección contra inserción también funciona desde la interfaz web. Si se identifica un secreto en una confirmación, verá el siguiente bloque de error que le impide insertar los cambios:
Qué hacer si se bloquea la inserción
La protección contra inserción bloquea los secretos que se encuentran en archivos de texto sin formato que normalmente son (aunque no exclusivamente) archivos de texto, como el código fuente o los archivos de configuración JSON. Estos secretos se almacenan en texto no cifrado. Si un actor malintencionado obtiene acceso a los archivos y se publican en un repositorio público, cualquiera puede usar los secretos.
Se recomienda quitar el secreto del archivo marcado y, después, quitarlo del historial de confirmaciones. Si el secreto marcado es de marcador de posición o de ejemplo, se recomienda actualizar el secreto falso para anteponer la cadena Placeholder por delante.
Si el secreto se ha agregado en la confirmación inmediatamente anterior, rectifíquela y cree otra confirmación:
- Quita el secreto del código.
- Confirme los cambios mediante
git commit --amend - Vuelva a insertar los cambio.
Si el secreto se ha agregado en un punto posterior del historial, edite las confirmaciones mediante una base interactiva:
- Use
git logpara determinar qué confirmación ha confirmado primero el secreto. - Realice un fusión mediante cambio de base interactiva:
git rebase -i [commit ID before credential introduction]~1 - Identifica la confirmación para editar cambiando
pickaediten la primera línea del texto que aparece en el editor. - Quita el secreto del código.
- Confirma el cambio con
git commit --amend. - Ejecuta
git rebase --continuepara finalizar la fusión mediante cambio de base.
Inserción de un secreto bloqueado
No se recomienda omitir secretos marcados porque al hacerlo puede poner en riesgo la seguridad de la empresa. Si confirma que un secreto identificado no es un falso positivo, debe quitarlo de todo el historial de ramas antes de intentar volver a insertar los cambios.
Si cree que un secreto bloqueado es un falso positivo o que se puede insertar de forma segura, puede omitir la protección contra inserción. Incluya la cadena skip-secret-scanning:true en el mensaje de confirmación. Incluso si omite la protección contra inserción, se genera una alerta de examen de secretos en la experiencia de usuario de la alerta una vez que se ha insertado el secreto.
Patrones de análisis de secretos
Advanced Security mantiene varios conjuntos de patrones de análisis de secretos predeterminados:
- Patrones de protección contra inserción: se usan para detectar posibles secretos en tiempo de inserción en repositorios con la protección contra inserción de examen de secretos habilitada.
- Patrones de alerta de usuario: se utilizan para detectar posibles secretos en repositorios con alertas de análisis de secretos habilitadas.
- Patrones que no son de proveedor: se usan para detectar repeticiones comunes de secretos estructurados en repositorios con alertas de análisis de secretos habilitadas.
Secretos admitidos
| Sección | Explicación |
|---|---|
| Proveedor | El nombre del proveedor de tokens. |
| Nombre del token | Tipo de token detectado por el análisis de secretos de Advanced Security. |
| Usuario | Un token para el que se informa de las filtraciones a los usuarios después de la inserción. Esto se aplica a todos los repositorios en los que Advanced Security está habilitado |
| Protección contra el envío de cambios | Un token para el que se informa de las filtraciones a los usuarios en la inserción. Esto se aplica a todos los repositorios en los que está habilitada la protección de inserción de secretos. |
| Validez | Tokens para los que Advanced Security intentará realizar una comprobación de validez. |
Patrones de proveedor de partners
En la tabla siguiente se enumeran los patrones del proveedor de partners que se admiten en el análisis de secretos.
| Proveedor | Nombre del token | Protección contra inserción | Alertas de usuario | Comprobación de validez |
|---|---|---|---|---|
| Adafruit IO | AdafruitIOKey |  |
|
|
| Adobe | AdobeDeviceToken | |
||
| Adobe | AdobeServiceToken | |
||
| Adobe | AdobeShortLivedAccessToken | |
||
| Akamai | AkamaiCredentials | |
||
| Alibaba Cloud | AlibabaCloudCredentials | |
|
|
| Amazon | AmazonMwsAuthToken | |
||
| Amazon | AmazonOAuthCredentials | |
|
|
| Amazon | AwsCredentials | |
|
|
| Amazon | AwsTemporaryCredentials | |
|
|
| Asana | AsanaPat | |
|
|
| Atlassian | AtlassianApiToken | |
||
| Atlassian | AtlassianJwt | |
||
| Atlassian | BitbucketCloudOAuthCredentials | |
||
| Atlassian | BitbucketServerPat | |
|
|
| Beamer | BeamerApiKey | |
||
| Brevo | BrevoApiKey | |
|
|
| Brevo | BrevoSmtpKey | |
|
|
| Canadian Digital Service | CdsCanadaNotifyApiKey | |
|
|
| Checkout.com | CheckoutIdentifiableSecretKey | |
||
| Chief Tools | ChiefToolsToken | |
|
|
| Cisco | CiscoLocalAccountCredentials | |
||
| Clojars | ClojarsDeployToken | |
||
| Cloudant | CloudantCredentials | |
||
| Cloudflare | CloudflareApiToken | |
||
| Contentful | ContentfulPersonalAccessToken | |
||
| Crates.io | CratesApiKey | |
||
| DevCycle | DevCycleClientApiKey | |
|
|
| DevCycle | DevCycleManagementApiToken | |
||
| DevCycle | DevCycleMobileApiKey | |
|
|
| DevCycle | DevCycleServerApiKey | |
|
|
| DigitalOcean | DigitalOceanOAuthToken | |
|
|
| DigitalOcean | DigitalOceanPat | |
|
|
| DigitalOcean | DigitalOceanRefreshToken | |
|
|
| DigitalOcean | DigitalOceanSystemToken | |
|
|
| Discord | DiscordApiCredentials | |
||
| Discord | DiscordApiToken | |
|
|
| Doppler | DopplerAuditToken | |
|
|
| Doppler | DopplerCliToken | |
|
|
| Doppler | DopplerPersonalToken | |
|
|
| Doppler | DopplerScimToken | |
|
|
| Doppler | DopplerServiceToken | |
|
|
| Dropbox | DropboxAccessToken | |
||
| Dropbox | DropboxAppCredentials | |
||
| Dropbox | DropboxOAuth2ShortLivedAccessToken | |
|
|
| Duffel | DuffelAccessToken | |
|
|
| Dynatrace | DynatraceInternalToken | |
||
| EasyPost | EasyPostApiKey | |
|
|
| Ebay | EBayProductionClientCredentials | |
||
| Ebay | EBaySandboxClientCredentials | |
||
| Elastic | ElasticCloudApiKey | |
||
| Elastic | ElasticStackApiKey | |
||
| EventBrite | PicaticApiKey | |
||
| FacebookAccessToken | |
|||
| FacebookAppCredentials | |
|||
| OculusAccessToken | |
|||
| Fastly | FastlyApiToken | |
||
| Figma | FigmaPat | |
|
|
| Finicity | FinicityAppKey | |
||
| Flutterwave | FlutterwaveLiveApiSecretKey | |
|
|
| Flutterwave | FlutterwaveTestApiSecretKey | |
||
| Frame.io | FrameIODeveloperToken | |
||
| Frame.io | FrameIOJwt | |
||
| FullStory | FullStoryApiKey | |
|
|
| GitHub | GitHubAppCredentials | |
||
| GitHub | GitHubAppToken | |
|
|
| GitHub | GitHubClassicPat | |
|
|
| GitHub | GitHubOAuthAccessToken | |
|
|
| GitHub | GitHubPat | |
|
|
| GitHub | GitHubRefreshToken | |
|
|
| GitHub | GitHubServerToServerToken | |
|
|
| GitHub | GitHubUserToServerToken | |
|
|
| GitLab | GitLabAccessToken | |
||
| GoCardless | GoCardlessLiveAccessToken | |
||
| GoCardless | GoCardlessSandboxAccessToken | |
||
| FirebaseCloudMessagingServerKey | |
|||
| GoogleApiKey | |
|||
| GoogleCloudPrivateKeyId | |
|
||
| GoogleCloudStorageServiceAccountAccessKey | |
|
||
| GoogleCloudStorageUserAccessKey | |
|
||
| GoogleOAuthAccessToken | |
|||
| GoogleOAuthCredentials | |
|||
| GoogleOAuthRefreshToken | |
|||
| GoogleServiceAccountKey | |
|||
| Grafana | GrafanaApiKey | |
|
|
| Grafana | GrafanaCloudApiToken | |
||
| Grafana | GrafanaProjectApiKey | |
||
| Grafana | GrafanaProjectServiceAccountToken | |
||
| Hashicorp | HashiCorpVaultBatchLegacyToken | |
|
|
| Hashicorp | HashiCorpVaultBatchToken | |
|
|
| Hashicorp | HashiCorpVaultRootServiceToken | |
|
|
| Hashicorp | HashiCorpVaultServiceLegacyToken | |
|
|
| Hashicorp | HashiCorpVaultServiceToken | |
|
|
| Hashicorp | TerraformCloudEnterpriseToken | |
|
|
| HighNote | HighnoteRkKey | |
|
|
| HighNote | HighnoteSkKey | |
|
|
| HubSpot | HubspotApiKey | |
|
|
| HubSpot | HubSpotApiPersonalAccessKey | |
|
|
| HuggingFace | HuggingFaceAccessToken | |
||
| Intercom | IntercomAccessToken | |
|
|
| Ionic | IonicPat | |
|
|
| Ionic | IonicRefreshToken | |
|
|
| JD Cloud | JdCloudAccessKey | |
||
| JFrog | JFrogPlatformAccessToken | |
|
|
| JFrog | JFrogPlatformApiKey | |
|
|
| Lineal | LinearApiKey | |
|
|
| Lineal | LinearOAuthAccessToken | |
|
|
| Lob | LobLiveApiKey | |
||
| Lob | LobTestApiKey | |
||
| LocalStack | LocalStackApiKey | |
||
| logicmonitor | LogicMonitorBearerToken | |
|
|
| logicmonitor | LogicMonitorLmv1AccessKey | |
|
|
| MailChimp | MailChimpApiKey | |
||
| Mailgun | MailgunApiCredentials | |
||
| Mapbox | MapboxSecretAccessToken | |
||
| MessageBird | MessageBirdApiKey | |
||
| Microsoft | AadClientAppIdentifiableCredentials | |
|
|
| Microsoft | AdoPat | |
|
|
| Microsoft | AzureApimDirectManagementSas | |
||
| Microsoft | AzureApimGatewaySas | |
||
| Microsoft | AzureApimIdentifiableDirectManagementKey | |
|
|
| Microsoft | AzureApimIdentifiableGatewayKey | |
|
|
| Microsoft | AzureApimIdentifiableRepositoryKey | |
|
|
| Microsoft | AzureApimIdentifiableSubscriptionKey | |
|
|
| Microsoft | AzureApimLegacyDirectManagementKey | |
||
| Microsoft | AzureApimLegacyGatewayKey | |
|
|
| Microsoft | AzureApimLegacyRepositoryKey | |
|
|
| Microsoft | AzureApimLegacySubscriptionKey | |
||
| Microsoft | AzureApimRepositorySas | |
||
| Microsoft | AzureAppConfigurationCredentials | |
|
|
| Microsoft | AzureApplicationInsightsCredentials | |
||
| Microsoft | AzureBatchIdentifiableKey | |
|
|
| Microsoft | AzureBatchLegacyKey | |
||
| Microsoft | AzureBlockchainCredentials | |
||
| Microsoft | AzureCacheForRedisIdentifiableKey | |
|
|
| Microsoft | AzureCacheForRedisIdentifiablePrivateServiceKey | |
|
|
| Microsoft | AzureCacheForRedisLegacyKey | |
|
|
| Microsoft | AzureCdnSas | |
||
| Microsoft | AzureCognitiveServicesKey | |
||
| Microsoft | AzureCognitiveServicesTranslatorKey | |
||
| Microsoft | AzureCommunicationServicesKey | |
|
|
| Microsoft | AzureContainerRegistryIdentifiableKey | |
|
|
| Microsoft | AzureContainerRegistryLegacyKey | |
|
|
| Microsoft | AzureCosmosDBIdentifiableKey | |
|
|
| Microsoft | AzureCosmosDBIdentifiablePrivateServiceKey | |
|
|
| Microsoft | AzureCosmosDBLegacyKey | |
|
|
| Microsoft | AzureDatabricksPat | |
|
|
| Microsoft | AzureDevOpsOAuthToken | |
||
| Microsoft | AzureEventGridKey | |
|
|
| Microsoft | AzureEventHubIdentifiableKey | |
|
|
| Microsoft | AzureEventHubIdentifiablePrivateServiceSystemKey | |
|
|
| Microsoft | AzureFluidRelayKey | |
||
| Microsoft | AzureFunctionIdentifiableKey | |
|
|
| Microsoft | AzureFunctionLegacyKey | |
|
|
| Microsoft | AzureGenomicsKey | |
||
| Microsoft | AzureHDInsightCredentials | |
||
| Microsoft | AzureIotDeviceIdentifiableKey | |
|
|
| Microsoft | AzureIotDeviceLegacyCredentials | |
|
|
| Microsoft | AzureIotDeviceProvisioningIdentifiableKey | |
|
|
| Microsoft | AzureIotDeviceProvisioningLegacyCredentials | |
|
|
| Microsoft | AzureIotHubIdentifiableKey | |
|
|
| Microsoft | AzureIotHubLegacyCredentials | |
|
|
| Microsoft | AzureLogicAppSas | |
||
| Microsoft | AzureManagementCertificate | |
||
| Microsoft | AzureMapsKey | |
||
| Microsoft | AzureMixedRealityCredentials | |
||
| Microsoft | AzureMLIdentifiablePrivateServicePrincipalCredentials | |
|
|
| Microsoft | AzureMLWebServiceClassicIdentifiableKey | |
|
|
| Microsoft | AzureMLWebServiceKey | |
||
| Microsoft | AzureOpenAIKey | |
||
| Microsoft | AzureRelayIdentifiableKey | |
|
|
| Microsoft | AzureSearchIdentifiableAdminKey | |
|
|
| Microsoft | AzureSearchIdentifiablePrivateServiceAdminKey | |
|
|
| Microsoft | AzureSearchIdentifiableQueryKey | |
|
|
| Microsoft | AzureSearchLegacyKey | |
||
| Microsoft | AzureServiceBusIdentifiableKey | |
|
|
| Microsoft | AzureServiceBusIdentifiablePrivateServiceSystemKey | |
|
|
| Microsoft | AzureServiceBusLegacyCredentials | |
|
|
| Microsoft | AzureServiceDeploymentCredentials | |
||
| Microsoft | AzureSignalRKey | |
|
|
| Microsoft | AzureStorageAccountIdentifiableKey | |
|
|
| Microsoft | AzureStorageAccountLegacyCredentials | |
|
|
| Microsoft | AzureStorageIdentifiablePrivateServiceKey | |
|
|
| Microsoft | AzureStorageLooseSas | |
||
| Microsoft | AzureStorageSas | |
||
| Microsoft | AzureWebAppBotCredentials | |
||
| Microsoft | AzureWebAppBotKey | |
||
| Microsoft | AzureWebPubSubCredentials | |
|
|
| Microsoft | BingApiKey | |
||
| Microsoft | BingMapsKey | |
||
| Microsoft | BingSearchKey | |
||
| Microsoft | OfficeIncomingWebhook | |
|
|
| Microsoft | Sas | |
||
| Microsoft | SqlIdentifiableCredentials | |
|
|
| Microsoft | VisualStudioAppCenterKey | |
||
| Midtrans | MidtransServerKey | |
|
|
| New Relic | NewRelicInsightsQueryKey | |
|
|
| New Relic | NewRelicLicenseKey | |
||
| New Relic | NewRelicPersonalApiKey | |
|
|
| New Relic | NewRelicRestApiKey | |
|
|
| Notion | NotionIntegrationToken | |
||
| Notion | NotionOAuthClientCredentials | |
||
| npm | NpmAuthorIdentifiableToken | |
|
|
| npm | NpmCredentials | |
|
|
| npm | NpmLegacyAuthorToken | |
||
| NuGet | NuGetApiKey | |
|
|
| NuGet | NuGetCredentials | |
||
| Octopus Deploy | OctopusDeployApiKey | |
||
| Onfido | OnfidoApiToken | |
|
|
| OpenAI | OpenAIApiKeyV2 | |
|
|
| Palantir | PalantirJwt | |
||
| PayPal | PayPalBraintreeAccessToken | |
||
| Rol | PersonaProductionApiKey | |
|
|
| Rol | PersonaSandboxApiKey | |
||
| PineCone | PineconeApiKey | |
||
| PlanetScale | PlanetScaleDatabasePassword | |
|
|
| PlanetScale | PlanetScaleOAuthToken | |
|
|
| PlanetScale | PlanetScaleServiceToken | |
|
|
| Plivo | PlivoCredentials | |
||
| postman | PostmanApiKey | |
|
|
| Prefect | PrefectServerApiToken | |
|
|
| Prefect | PrefectUserApiToken | |
|
|
| Proctorio | ProctorioConsumerKey | |
||
| Proctorio | ProctorioLinkageKey | |
||
| Proctorio | ProctorioRegistrationKey | |
||
| Proctorio | ProctorioSecretKeyV2 | |
|
|
| Pulumi | PulumiAccessToken | |
||
| PyPi | PyPiApiToken | |
||
| Léame | ReadMeApiKey | |
|
|
| redirect.pizza | RedirectPizzaApiToken | |
|
|
| Rubygems | RubyGemsApiKey | |
||
| SAMPLE | SecretScanningSampleToken | |||
| Samsara | SamsaraApiAccessToken | |
|
|
| Samsara | SamsaraOAuth2AccessToken | |
|
|
| Segment.io | SegmentPublicApiToken | |
||
| SendGrid | SendGridApiKey | |
|
|
| Shippo | ShippoLiveApiToken | |
|
|
| Shippo | ShippoTestApiToken | |
||
| Shopify | ShopifyAccessToken | |
|
|
| Shopify | ShopifyAppClientCredentials | |
||
| Shopify | ShopifyAppClientSecret | |
||
| Shopify | ShopifyAppOAuthAccessToken | |
||
| Shopify | ShopifyCustomAppAccessToken | |
||
| Shopify | ShopifyMarketplaceToken | |
||
| Shopify | ShopifyMerchantToken | |
||
| Shopify | ShopifyPartnerApiToken | |
||
| Shopify | ShopifyPrivateAppPassword | |
||
| Shopify | ShopifySharedSecret | |
|
|
| Slack | SlackApiKey | |
|
|
| Slack | SlackAppLevelToken | |
|
|
| Slack | SlackWebhook | |
||
| Slack | SlackWorkflowKey | |
||
| Splunk | SplunkHecApiKey | |
||
| Splunk | SplunkJwtToken | |
||
| Splunk | SplunkSessionKey | |
||
| Cuadrado | SquareApplicationSecret | |
||
| Cuadrado | SquareCredentials | |
||
| Cuadrado | SquarePat | |
||
| SSLMate | SSLMateApiKey | |
||
| SSLMAte | SSLMateClusterSecret | |
||
| Stripe | StripeLiveApiKey | |
|
|
| Stripe | StripeLiveRestrictedApiKey | |
||
| Stripe | StripeTestApiKey | |
||
| Stripe | StripeTestRestrictedApiKey | |
||
| Stripe | StripeWebhookSigningSecret | |
||
| Supabase | SupabaseServiceKey | |
||
| Tableau | TableauPersonalAccessToken | |
||
| Telegram | TelegramBotToken | |
||
| Telnyx | TelnyxApiV2Key | |
||
| Tencent Cloud | TencentCloudCredentials | |
|
|
| Tencent Cloud | TencentCloudSecretId | |
|
|
| Twilio | TwilioApiKeyCredentials | |
||
| Twilio | TwilioCredentials | |
||
| Typeform | TypeformPat | |
|
|
| Uniwise | WISEFlowApiKey | |
|
|
| WakaTime | WakaTimeAppCredentials | |
|
|
| WakaTime | WakaTimeOAuthAccessToken | |
|
|
| WakaTime | WakaTimeOAuthRefreshToken | |
|
|
| WorkOS | WorkOSProductionApiKey | |
|
|
| WorkOS | WorkOSStagingApiKey | |
||
| Yandex | YandexCloudApiKey | |
||
| Yandex | YandexCloudIamAccessSecret | |
||
| Yandex | YandexCloudIamCookie | |
||
| Yandex | YandexCloudIamToken | |
||
| Yandex | YandexDictionaryApiKey | |
||
| Yandex | YandexPassportOAuthToken | |
|
|
| Yandex | YandexPredictorApiKey | |
||
| Yandex | YandexTranslateApiKey | |
||
| Zuplo | ZuploConsumerApiKey | |
|
Patrones que no son de proveedor
En la tabla siguiente se enumeran los secretos no de proveedor generados detectados por el análisis de secretos. Los secretos que no son de proveedor se pueden ver seleccionando "Otros" en la lista desplegable de confianza de la pestaña análisis de secretos. Para obtener más información, consulte Administración de alertas de análisis de secretos.
Sugerencia
La detección de patrones que no son de proveedores se encuentra actualmente en versión beta y está sujeta a cambios.
| Proveedor | Secreto compatible | Nombre del token |
|---|---|---|
| Genérico | Clave de máquina de ASP.NET | AspNetMachineKey |
| Genérico | Clave privada codificada por DER | DerPrivateKey |
| Genérico | Token de Dynatrace | DynatraceToken |
| Genérico | Credenciales de GPG | GpgCredentials |
| Genérico | Encabezados de solicitud HTTP | HttpAuthorizationRequestHeader |
| Genérico | Token web de JavaScript | GenericJwt |
| Genérico | Credenciales de LinkedIn | LinkedInCredentials |
| Genérico | Cadena de conexión de MongoDB | MongoDbCredentials |
| Genérico | Cadena de conexión de MySQL/MariaDB | MySqlCredentials |
| Genérico | Clave privada codificada en PEM | PemPrivateKey |
| Genérico | Clave privada PGP | PgpPrivateKey |
| Genérico | Clave privada con formato PKCS12 | Pkcs12PrivateKey |
| Genérico | Cadena de conexión de PostgreSQL | PostgreSqlCredentials |
| Genérico | Clave privada de Putty | PuttyPrivateKey |
| Genérico | Credenciales de RabbitMQ | RabbitMqCredentials |
| Genérico | Clave privada RSA | RsaPrivateKey |
| Genérico | Cadena de conexión de SQL Server | SqlLegacyCredentials |
| Genérico | PrivateKey de SSH | OpenSshPrivateKey |
| Genérico | PrivateKey de SSH | GitHubSshPrivateKey |
| Genérico | Credenciales codificadas por URL | UrlCredentials |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de