Mitigación de Brechas de Seguridad en Repositorios GitHub

Clase 33 de 42 • Curso de Git y GitHub

Contenido del curso

Fundamentos de Git y control de versiones

Introducción a GitHub

Herramientas de colaboración en GitHub

GitHub Codespaces

Seguridad y buenas prácticas en GitHub

Administración de GitHub

Gestión de Cambios con Pull Requests

GitHub Releases

Cierre

42
Tips Avanzados para Mejorar tu Flujo de Trabajo en GitHub
10:13 min

Tomar examen

Resumen

Cometer errores al subir información sensible a un repositorio es más común de lo que parece. Aunque el archivo .gitignore es la primera línea de defensa, una llave de API o una cadena de conexión pueden terminar expuestas en el historial de commits por un simple descuido. Conocer las herramientas que GitHub ofrece para detectar estas filtraciones, y sobre todo entender sus limitaciones, marca la diferencia entre un proyecto seguro y uno vulnerable.

¿Qué tipo de información sensible puede filtrarse en un repositorio?

Dentro del código fuente o los archivos de configuración de un proyecto pueden aparecer datos que nunca deberían ser públicos:

Llaves de acceso a una API (como una Stripe API Key).
Cadenas de conexión a bases de datos.
Credenciales de servicios de terceros.

El problema no termina con borrar la línea comprometida. Cada commit queda registrado en el historial de Git, por lo que cualquier persona con acceso al repositorio podría recuperar ese dato incluso después de eliminarlo del código actual [01:05].

¿Cómo activar Code Scanning y Secret Scanning en GitHub?

Para habilitar estas herramientas es necesario que el repositorio sea público (en repositorios privados estas opciones pueden no estar disponibles en planes gratuitos) [02:00].

El proceso para configurarlas es el siguiente:

Ir a Settings del repositorio.
Buscar la sección Code Security and Analysis [02:15].
Dentro de Code Scanning, seleccionar la herramienta CodeQL Analysis y dejar la configuración por defecto. GitHub detecta automáticamente el lenguaje principal del proyecto.
En el panel de seguridad aparecen tres categorías de alertas: Dependabot, Code Scanning y Secret Scanning [02:50].

Cuando Secret Scanning detecta un secreto activo, genera una alerta indicando el tipo de credencial expuesta y ofrece recomendaciones claras para mitigar el daño.

¿Qué hacer cuando se filtra un secreto?

GitHub propone cuatro pasos esenciales ante cualquier filtración [03:15]:

Rotar la credencial: acudir al servicio de terceros y solicitar nuevas llaves de acceso. Las anteriores deben quedar invalidadas de inmediato.
Modificar el código: eliminar el secreto del archivo fuente.
Prevenir futuras filtraciones: utilizar archivos de variables de entorno (.env, appsettings.json) y agregarlos al .gitignore.
Revisar el historial: verificar que no existan otros commits con información comprometida.

Simplemente borrar la línea no es suficiente. La rotación de credenciales es el paso más crítico porque el secreto ya quedó expuesto en el historial de cambios.

¿Es infalible Secret Scanning de GitHub?

La respuesta directa es no. Durante la demostración se comprobó que patrones reconocidos, como una Stripe API Key, son detectados rápidamente. Sin embargo, al agregar una cadena de conexión a SQL con un nombre genérico como testing_connection, el escaneo no generó ninguna alerta nueva incluso después de varios minutos [04:45].

Esto demuestra que GitHub identifica patrones conocidos pero no puede detectar todas las variantes de información sensible. Si el nombre de la variable o el formato de la cadena no coincide con los patrones predefinidos, la filtración pasa desapercibida [05:30].

¿Cuál es la mejor estrategia para proteger secretos en tus proyectos?

La prevención siempre será más efectiva que la corrección. Las variables de entorno almacenadas en archivos como .env o appsettings.json permiten mantener las credenciales fuera del código fuente. Al incluir estos archivos en el .gitignore, se evita que lleguen al repositorio [06:10].

Rotar llaves de acceso o cadenas de conexión después de una filtración es un proceso complejo, especialmente cuando múltiples productos o servicios dependen de las mismas credenciales [06:30].

Las mejores prácticas se resumen en:

Usar archivos de variables de ambiente para toda información sensible.
Configurar .gitignore antes del primer commit del proyecto.
Activar Code Scanning y Secret Scanning como red de seguridad adicional.
Nunca confiar exclusivamente en las herramientas automatizadas.

Si adoptas estas prácticas desde el inicio, lo ideal es que las alertas de seguridad de GitHub permanezcan siempre en cero. ¿Has tenido alguna experiencia con filtraciones de credenciales en tus repositorios? Comparte cómo lo resolviste.

Comentarios

Juan Pablo Sanchez Parra

student•

La clase "anterior" de como crear un archivo gitignore, no esta, es decir no esta la clase, debido a eso, en esta clase he tenido muchos errores que no se como corregir. La clase anterior fue de tokens para acceso seguro a repositorios

Pablo José Estrada Reyes

student•

Si, falta la clase de la configuración del Gitignore, incluso esta clase empieza con los textos haciendo referencia que la clase anterior fue la Administración de repositorios con GitHub tokens y no la que dice el profe Amin.

Isaías Chávez Martínez

student•

Esto es porque ya usan IA para filtrar todo lo de sus clases y ya ni se dán cuenta de esta clase de errores.

Diego Andrés Lopez Rodriguez

student•

Para proteger tus repositorios en GitHub, considera las siguientes recomendaciones:

Usa archivos .gitignore: Evita subir información sensible como contraseñas o claves de API.
Haz repositorios privados: Si trabajas en proyectos sensibles, mantenlos en modo privado.
Habilita la autenticación de dos factores: Aumenta la seguridad de tu cuenta.
Configura alertas de seguridad: Utiliza herramientas como Secret Scanning y Code Scanning.
Revoca claves expuestas: Si accidentalmente subes información sensible, revoca las claves inmediatamente y rota las credenciales.

Estas prácticas te ayudarán a mantener tus proyectos seguros.

Jhon Alejandro Ceballos Tobon

student•

Ahora GutHub está incluso más actualizado, con la función de seguridad no permite realizar el push desde la terminal.. está genial!

Jeferson Luna Jaramillo

student•

Me pasó el mismo problema, desde dónde pudo hacer el push?

Yorgen Omar Marciales Parada

student•

La seguridad en GitHub es crucial para proteger tu código y datos sensibles. Aquí algunos aspectos clave:

Git Ignore: Usa .gitignore para evitar subir archivos sensibles como credenciales o configuraciones.
Secret Scanning: GitHub escanea tu repositorio en busca de secretos y te alerta si encuentra claves de API o contraseñas.
Políticas de Seguridad: Implementa buenas prácticas, como hacer tus repositorios privados cuando trabajas con información sensible.
Rotación de Claves: Si accidentalmente subes una clave, revócala inmediatamente y genera una nueva.
Análisis de Código: Utiliza herramientas como CodeQL para revisar tu código en busca de vulnerabilidades.

Mantener buenas prácticas de seguridad es esencial para prevenir brechas y proteger tus proyectos en GitHub.

Nicolás Ginar

student•

Hola buenas, falto la clase de gitignore @fredyvega

Nahuel Caero

student•

Si tienen problemas para seguir ésta clase es porque esta sección parece estar mal ordenada.

La clase siguiente a la de tokens y la anterior a ésta (donde convierten el repositorio en privado y explican sobre el .gitignore) es "<u>Configuración de Repositorios Privados en GitHub</u>".

Espero haberles ayudado.

Sebastián Loría Ramírez

student•

Gracias!!

Miguel Lozano

student••

No se que habrá pasado con la clase. Pero básicamente el archivo .gitignore es un archivo de texto que indica a Git qué archivos o carpetas debe ignorar y no rastrear en el repositorio.

Su función principal es la seguridad y limpieza:

Protección: Evita subir información sensible como contraseñas o llaves de API guardadas en archivos .env.
Eficiencia: Impide cargar archivos innecesarios (como dependencias o temporales) que solo ensucian el código.

Es una herramienta de prevención; si olvidas usarlo y subes un secreto, este permanecerá en el historial de commits aunque luego lo borres.

Ejemplo:

Tenemos un archivo .env con variables de entorno que permiten almacenar configuraciones y credenciales sensibles (claves API, bases de datos) fuera del código fuente, mejorando la seguridad y facilitando el despliegue en distintos entornos (desarrollo, producción).

Posteriormente en el archivo .gitignore ignoramos los archivos sensibles como el .env así lo podríamos hacer con otros archivos o carpetas

Así es como se vería en la terminal, como podemos ver no nos muestra el archivo .env y esto es porque lo colocamos en el .gitignore para así evitar que se subo al repo y pueda quedar ignorado.

De todas maneras esperemos que puedan subir la clase 💚

Gabriel Obregón

student•

🔐 Protección de información sensible en GitHub

🎯 Objetivo

Evitar que llaves de API, contraseñas o datos de conexión se suban al repositorio.

GitHub ofrece dos herramientas clave para reforzar la seguridad del código:

🔹 CodeQL → analiza el código y detecta vulnerabilidades.

🔹 Secret Scanning → identifica llaves o secretos expuestos.

⚙️ 1. Activación de CodeQL y Secret Scanning

🔓 Antes de comenzar

➡️ El repositorio debe ser público (algunas funciones no están disponibles en repos privados).

🚀 Pasos rápidos

🪄 1. Entra al repositorio → Settings

🪄 2. Ve a Code Security and Analysis

🪄 3. Activa CodeQL Analysis en Code Scanning

💡 GitHub detecta el lenguaje y analiza tu código automáticamente.

🪄 4. Comprueba que Secret Scanning esté habilitado

🔍 Suele venir activado por defecto y busca secretos en tu código.

🔍 2. Cómo probar Secret Scanning

🧪 Prueba práctica

1️⃣ Añade una cadena simulando una API key:

string stripeApiKey = "clave_sensible";

2️⃣ Sube el cambio al repositorio.

✅ GitHub debería generar una alerta de seguridad.

3️⃣ Prueba con una cadena más genérica:

string connectionString = "cadena_sensible"; ⚠️ Esta puede no detectarse.

💬 Conclusión: Secret Scanning es muy útil, pero no detecta todos los casos.

🚨 3. Qué hacer ante una alerta de seguridad

🧭 Guía de acción inmediata

🔁 1. Renueva las credenciales del servicio afectado.

🧹 2. Elimina la clave del historial de commits.

➡️ No basta con borrarla solo del archivo actual.

🗂️ 3. Usa archivos de configuración como .env o appsettings.json.

🚫 4. Exclúyelos con .gitignore para evitar nuevas filtraciones.

⚠️ 4. Limitaciones y mejores prácticas

🧠 Lo que debes recordar

🔸 CodeQL y Secret Scanning no detectan todos los secretos.

🔸 Son apoyo, no sustituto de una buena configuración.

🛠️ Buenas prácticas esenciales

✅ Configura correctamente .gitignore.

✅ Guarda secretos en archivos de entorno fuera del control de versiones.

✅ Supervisa con frecuencia la sección Security de GitHub.

Anthony Hernando Rivera Escobar

student•

La clase se centra en la gestión de datos sensibles y las políticas de seguridad en GitHub. Se enfatiza la importancia de evitar subir información delicada, como llaves de acceso a APIs o credenciales de bases de datos, a repositorios. Se explican herramientas como Code Scanning y Secret Scanning de GitHub, que ayudan a detectar vulnerabilidades y secretos filtrados en el código. Además, se sugiere utilizar archivos de configuración, como .env o appsettings.json, para manejar estos datos de forma segura y adoptar buenas prácticas en el desarrollo de software.

David Hernando Henao Marulanda

student•

Dependabot es una herramienta de GitHub que ayuda a los desarrolladores a mantener sus proyectos actualizados al crear automáticamente solicitudes de extracción (pull requests) para actualizaciones de dependencias. Esto incluye detectar vulnerabilidades en bibliotecas y sugerir versiones más seguras. Al integrar Dependabot, puedes mejorar la seguridad y estabilidad de tu proyecto sin tener que hacerlo manualmente. Su uso es una buena práctica en el manejo de repositorios, complementando la seguridad y análisis de código que se menciona en la clase.

Mirta Astrid Salgado Hernández

student•

El code scanning lo encontre en: Advance d security

Secret scanning : secret protection

Diego Arango

student•

Para quiénes llegan a esta clase por primera vez y se pierden con lo de "la clase anterior" y los archivos creados, vayan primero a la Clase 33 "Configuración de Repositorios Privados en GitHub", https://platzi.com/cursos/gitgithub/mantenimiento-de-repositorios-seguros/ esa debería ir antes de esta y luego si continuen el orden.

Albert Jose Salas Yustiz

student•

MUY CIERTO LA PARTE DEL GITHUB ACERCA DEL gitignore, NO ESTA EN LA CLASE ANTERIOR, Y EN ESTA TAN SOLO LA MENCIONA COMO POSIBLE SOLUCIÓN PARA EVITAR LOS ERRORES ACERCA DE LA SEGURIDAD...

Albert Jose Salas Yustiz

student•

Por supuesto que esto según lo comentado por el profesor como el gitignore, es para corregir errores, pero con las buenas practicas deberíamos evitar cometer el error de compartir información importante y delicada de forma publica...

Carlos Axel Espinosa Ramirez

student•

Además de usar git-filter-repo, puedes optar por git rebase -i para eliminar commits específicos del historial sin perder todo el historial. Esto te permite interactuar con los commits y eliminar los que contienen información sensible. Otra opción es crear una nueva rama desde un commit anterior al problema y luego reintegrar cambios necesarios, omitiendo los no deseados. Sin embargo, recuerda que cualquier alteración del historial puede complicar la colaboración con otros. Siempre es mejor prevenir subiendo secretos en archivos como .env o en configuraciones externas.

Samuel Steven Bernal Martínez

student•

alguna idea de porqué mi Secret scanning no detectó nada?

Fernando Hernández Santos

student•

Las clases están desordenadas, el orden correcto va así

-Configuración de repositorios privados -Mitigación de brechas de seguridad -Gestión de seguridad en paquetes con dependabot

Sergio Sanjuan

student•

parece que el VS code tambien protege antes de hacer push de un secreto, cada vez más es más seguro

Mario Fernando Perez Martínez

student•

Sí, cambió. Antes sí te dejaba hacer push, ahora muchas veces lo bloquea directamente.

Dussan Freire

student•

Hay que tomar conciencia de lo fácil que es filtrar secretos en GitHub y de lo difícil que es corregirlo después. Me pareció muy útil ver cómo combinar CodeQL, Secret Scanning y buenas prácticas como usar .gitignore y archivos de configuración para proteger llaves y credenciales desde el inicio del proyecto.

SANTIAGO ALBERTO BOLIVAR CARDENAS.

student•

Que buen video, Gracias Profesor, Gracias Platzi.

Sebastian Fernandez Bravo

student•

Ya esta disponible la clase de como usar gitignore ?

Mitigación de Brechas de Seguridad en Repositorios GitHub

Fundamentos de Git y control de versiones

Control de Versiones con Git y GitHub: De Básico a Avanzado

Fundamentos de Git: Configuración y Comandos Básicos

Control de Versiones con Git: Comandos Básicos y Flujo de Trabajo

Gestión de ramas en Git: creación, fusión y eliminación eficiente

Git Reset vs Git Revert: Manejo de Historial y Corrección de Errores

Uso de Git Tag y Git Checkout para Gestión de Versiones y Revisión

Resolución de Conflictos de Ramas en Git paso a paso

Uso de Git en Visual Studio Code

Introducción a GitHub

Uso de GitHub para Colaboración y Desarrollo Seguro

Creación y configuración de cuenta GitHub paso a paso

Proceso de Trabajo con Git y GitHub: Creación y Revisión de Repositorios

Creación y colaboración en repositorios de GitHub

Precios y Planes de Productos de Github

Configuración de SSH en GitHub para Windows, Linux y Mac

Uso de Forks y Estrellas en Repositorios de GitHub

Uso de git pull, git push y git fetch en repositorios GitHub

Creación de Plantillas de Issues en GitHub

Uso de Pull Requests en GitHub para Colaboración Efectiva

Herramientas de colaboración en GitHub

Gestión de Proyectos con GitHub Projects: Planificación Colaborativa

Automatización de flujos de trabajo en GitHub Projects

Recursos Esenciales de Markdown para Documentación Efectiva

Creación de una Portada de Perfil en GitHub con Markdown

Creación y Gestión de Wikis en GitHub

Uso de GitHub Gist para Compartir y Revisar Código Colaborativo

Creación y Publicación de Sitios Web con GitHub Pages

GitHub Codespaces

Creación y Gestión de GitHub Codespaces en la Nube

Uso de Codespaces y plantillas en GitHub para proyectos con Django

Programación Colaborativa con Live Share en VS Code

Uso del Editor Web de GitHub para Edición Rápida de Archivos

Seguridad y buenas prácticas en GitHub

Gestión de GitHub Tokens para Acceso Seguro a Repositorios

Gestión de Seguridad de Paquetes con Dependabot en Proyectos .NET

Configuración de Repositorios Privados en GitHub