Secret Scanning en GitHub y sus límites

Cursos Empresas Blog Live Conf Precios

Contenido del curso

Fundamentos de Git y control de versiones

Introducción a GitHub

Herramientas de colaboración en GitHub

GitHub Codespaces

Seguridad y buenas prácticas en GitHub

Administración de GitHub

Gestión de Cambios con Pull Requests

GitHub Releases

Cierre

42
Pro tips ocultos de GitHub para trabajar mejor
10:13 min

Tomar examen

Secret Scanning en GitHub y sus límites

Resumen

Subir por accidente una API key o una cadena de conexión al repositorio es uno de los errores más comunes en desarrollo. GitHub ofrece Secret Scanning y Code Scanning como red de seguridad para detectar esas filtraciones antes de que alguien las explote, y aquí verás cómo activarlas, probarlas y entender sus límites reales.

¿Por qué necesitas escanear secretos en tu repositorio?

Un archivo gitignore bien configurado evita que subas archivos sensibles, pero no protege contra el descuido humano. Puedes escribir una llave directamente dentro del código fuente y, sin darte cuenta, hacer push de información que compromete cuentas de terceros.

Entre los datos delicados que suelen filtrarse están:

Llaves de acceso a APIs externas como Stripe.
Cadenas de conexión a bases de datos.
Tokens de autenticación o credenciales de servicios cloud.

¿Qué es un secreto en GitHub? Es cualquier credencial, token o llave que da acceso a un servicio. Si queda expuesto en un commit, cualquiera con acceso al repositorio puede usarlo.

¿Cómo activar Code Scanning y Secret Scanning en GitHub?

Estas funciones solo aparecen disponibles cuando tu repositorio es público, así que el primer paso es revisar la visibilidad en la danger zone de los settings [2:00].

Una vez público, entra a Settings > Code security and analysis [2:30] y configura lo siguiente:

Localiza la sección Code scanning y selecciona CodeQL analysis.
Deja la configuración por defecto, donde GitHub detecta automáticamente el lenguaje del proyecto (en este ejemplo, C#).
Habilita CodeQL y confirma los criterios de búsqueda.
Baja a Secret scanning: viene activado por defecto, con un botón para deshabilitar.

¿Qué hace CodeQL exactamente?

CodeQL analiza el código fuente buscando patrones de vulnerabilidad. Trabaja en segundo plano cada vez que haces push, sin que tengas que ejecutarlo manualmente.

¿Cómo reacciona GitHub ante una API key filtrada?

Para probar la herramienta, basta con escribir en program.cs una línea como string stripeApiKey con un valor entre comillas simulando una credencial real [4:30]. Después aplicas la secuencia habitual:

git status para confirmar el cambio.
git add y git commit con un mensaje descriptivo.
git push para enviarlo al repositorio.

Al regresar al repositorio, aparece un círculo amarillo de pending mientras GitHub evalúa los cambios. Tras refrescar la página, la pestaña Security muestra un 1 en alertas. Y aquí viene lo interesante: dentro encuentras tres categorías de alertas, Dependabot, Code Scanning y Secret Scanning, y en esta última está la notificación de la llave detectada.

¿Qué hago si GitHub detecta un secreto filtrado? Rota la credencial en el servicio de origen, modifica tu código para usar variables de entorno y recuerda que borrar la línea no la elimina del historial de commits.

¿Cuáles son los pasos para mitigar la filtración?

GitHub recomienda cuatro pasos que aplican a casi cualquier secreto expuesto:

Contactar al proveedor (la cuenta de terceros) y rotar las credenciales.
Invalidar la llave anterior para que ya no funcione.
Modificar el código para mover el secreto a variables de entorno.
Confirmar que el flujo nuevo no vuelva a filtrar el dato en futuros commits.

¿Por qué Secret Scanning no detecta todos los secretos?

Aquí está el matiz que muchos pasan por alto. Cuando escribes algo evidente como stripeApiKey, GitHub lo identifica rápido por el patrón conocido. Pero si nombras la variable string testingConnection y pegas una cadena de conexión SQL real, la herramienta no genera ninguna alerta [9:00].

Después de esperar cuatro minutos para confirmar que el escaneo terminó, la única alerta visible sigue siendo la de Stripe. La cadena de conexión a SQL pasó desapercibida porque el nombre de la variable no coincidía con patrones reconocibles como sql connection o sql key.

La lección es clara: Secret Scanning ayuda, pero no es infalible. Detecta patrones bien documentados de proveedores conocidos, no cualquier credencial disfrazada con un nombre genérico.

¿Cuál es la mejor estrategia para proteger tus credenciales?

La frase que resume todo es simple: siempre será más fácil prevenir que lamentar. Las herramientas de escaneo son una segunda línea de defensa, no la primera.

Tu flujo ideal debe verse así:

Guarda credenciales en archivos .env o appsettings.json según tu lenguaje.
Añade esos archivos al gitignore para excluirlos del control de versiones.
Usa variables de entorno en tu código en lugar de valores hardcodeados.
Mantén Code Scanning y Secret Scanning activos como respaldo.

Si adoptas estas prácticas desde el inicio, las alertas de seguridad de GitHub serán algo que casi nunca verás. Y eso es exactamente lo que quieres, porque rotar llaves o cadenas de conexión en producción es un proceso complicado: tu producto rara vez es el único consumidor de esas credenciales, y cada cambio puede romper integraciones con otros servicios.

¿Ya configuraste Secret Scanning en tus repositorios? Cuéntame en los comentarios qué tipo de credenciales sueles manejar y cómo organizas tus variables de entorno.

Comentarios

Juan Pablo Sanchez Parra

Estudiante

La clase "anterior" de como crear un archivo gitignore, no esta, es decir no esta la clase, debido a eso, en esta clase he tenido muchos errores que no se como corregir. La clase anterior fue de tokens para acceso seguro a repositorios

Pablo José Estrada Reyes

Estudiante

Si, falta la clase de la configuración del Gitignore, incluso esta clase empieza con los textos haciendo referencia que la clase anterior fue la Administración de repositorios con GitHub tokens y no la que dice el profe Amin.

Isaías Chávez Martínez

Estudiante

Esto es porque ya usan IA para filtrar todo lo de sus clases y ya ni se dán cuenta de esta clase de errores.

Diego Andrés Lopez Rodriguez

Estudiante

Para proteger tus repositorios en GitHub, considera las siguientes recomendaciones:

Usa archivos .gitignore: Evita subir información sensible como contraseñas o claves de API.
Haz repositorios privados: Si trabajas en proyectos sensibles, mantenlos en modo privado.
Habilita la autenticación de dos factores: Aumenta la seguridad de tu cuenta.
Configura alertas de seguridad: Utiliza herramientas como Secret Scanning y Code Scanning.
Revoca claves expuestas: Si accidentalmente subes información sensible, revoca las claves inmediatamente y rota las credenciales.

Estas prácticas te ayudarán a mantener tus proyectos seguros.

Jhon Alejandro Ceballos Tobon

Estudiante

Ahora GutHub está incluso más actualizado, con la función de seguridad no permite realizar el push desde la terminal.. está genial!

Jeferson Luna Jaramillo

Estudiante

Me pasó el mismo problema, desde dónde pudo hacer el push?

Yorgen Omar Marciales Parada

Estudiante

La seguridad en GitHub es crucial para proteger tu código y datos sensibles. Aquí algunos aspectos clave:

Git Ignore: Usa .gitignore para evitar subir archivos sensibles como credenciales o configuraciones.
Secret Scanning: GitHub escanea tu repositorio en busca de secretos y te alerta si encuentra claves de API o contraseñas.
Políticas de Seguridad: Implementa buenas prácticas, como hacer tus repositorios privados cuando trabajas con información sensible.
Rotación de Claves: Si accidentalmente subes una clave, revócala inmediatamente y genera una nueva.
Análisis de Código: Utiliza herramientas como CodeQL para revisar tu código en busca de vulnerabilidades.

Mantener buenas prácticas de seguridad es esencial para prevenir brechas y proteger tus proyectos en GitHub.

Nicolás Ginar

Estudiante

Hola buenas, falto la clase de gitignore @fredyvega

Nahuel Caero

Estudiante

Si tienen problemas para seguir ésta clase es porque esta sección parece estar mal ordenada.

La clase siguiente a la de tokens y la anterior a ésta (donde convierten el repositorio en privado y explican sobre el .gitignore) es "<u>Configuración de Repositorios Privados en GitHub</u>".

Espero haberles ayudado.

Sebastián Loría Ramírez

Estudiante

Gracias!!

Miguel Lozano

Estudiante

•

No se que habrá pasado con la clase. Pero básicamente el archivo .gitignore es un archivo de texto que indica a Git qué archivos o carpetas debe ignorar y no rastrear en el repositorio.

Su función principal es la seguridad y limpieza:

Protección: Evita subir información sensible como contraseñas o llaves de API guardadas en archivos .env.
Eficiencia: Impide cargar archivos innecesarios (como dependencias o temporales) que solo ensucian el código.

Es una herramienta de prevención; si olvidas usarlo y subes un secreto, este permanecerá en el historial de commits aunque luego lo borres.

Ejemplo:

Tenemos un archivo .env con variables de entorno que permiten almacenar configuraciones y credenciales sensibles (claves API, bases de datos) fuera del código fuente, mejorando la seguridad y facilitando el despliegue en distintos entornos (desarrollo, producción).

Posteriormente en el archivo .gitignore ignoramos los archivos sensibles como el .env así lo podríamos hacer con otros archivos o carpetas

Así es como se vería en la terminal, como podemos ver no nos muestra el archivo .env y esto es porque lo colocamos en el .gitignore para así evitar que se subo al repo y pueda quedar ignorado.

De todas maneras esperemos que puedan subir la clase 💚

Gabriel Obregón

Estudiante

🔐 Protección de información sensible en GitHub

🎯 Objetivo

Evitar que llaves de API, contraseñas o datos de conexión se suban al repositorio.

GitHub ofrece dos herramientas clave para reforzar la seguridad del código:

🔹 CodeQL → analiza el código y detecta vulnerabilidades.

🔹 Secret Scanning → identifica llaves o secretos expuestos.

⚙️ 1. Activación de CodeQL y Secret Scanning

🔓 Antes de comenzar

➡️ El repositorio debe ser público (algunas funciones no están disponibles en repos privados).

🚀 Pasos rápidos

🪄 1. Entra al repositorio → Settings

🪄 2. Ve a Code Security and Analysis

🪄 3. Activa CodeQL Analysis en Code Scanning

💡 GitHub detecta el lenguaje y analiza tu código automáticamente.

🪄 4. Comprueba que Secret Scanning esté habilitado

🔍 Suele venir activado por defecto y busca secretos en tu código.

🔍 2. Cómo probar Secret Scanning

🧪 Prueba práctica

1️⃣ Añade una cadena simulando una API key:

string stripeApiKey = "clave_sensible";

2️⃣ Sube el cambio al repositorio.

✅ GitHub debería generar una alerta de seguridad.

3️⃣ Prueba con una cadena más genérica:

string connectionString = "cadena_sensible"; ⚠️ Esta puede no detectarse.

💬 Conclusión: Secret Scanning es muy útil, pero no detecta todos los casos.

🚨 3. Qué hacer ante una alerta de seguridad

🧭 Guía de acción inmediata

🔁 1. Renueva las credenciales del servicio afectado.

🧹 2. Elimina la clave del historial de commits.

➡️ No basta con borrarla solo del archivo actual.

🗂️ 3. Usa archivos de configuración como .env o appsettings.json.

🚫 4. Exclúyelos con .gitignore para evitar nuevas filtraciones.

⚠️ 4. Limitaciones y mejores prácticas

🧠 Lo que debes recordar

🔸 CodeQL y Secret Scanning no detectan todos los secretos.

🔸 Son apoyo, no sustituto de una buena configuración.

🛠️ Buenas prácticas esenciales

✅ Configura correctamente .gitignore.

✅ Guarda secretos en archivos de entorno fuera del control de versiones.

✅ Supervisa con frecuencia la sección Security de GitHub.

Anthony Hernando Rivera Escobar

Estudiante

La clase se centra en la gestión de datos sensibles y las políticas de seguridad en GitHub. Se enfatiza la importancia de evitar subir información delicada, como llaves de acceso a APIs o credenciales de bases de datos, a repositorios. Se explican herramientas como Code Scanning y Secret Scanning de GitHub, que ayudan a detectar vulnerabilidades y secretos filtrados en el código. Además, se sugiere utilizar archivos de configuración, como .env o appsettings.json, para manejar estos datos de forma segura y adoptar buenas prácticas en el desarrollo de software.

David Hernando Henao Marulanda

Estudiante

Dependabot es una herramienta de GitHub que ayuda a los desarrolladores a mantener sus proyectos actualizados al crear automáticamente solicitudes de extracción (pull requests) para actualizaciones de dependencias. Esto incluye detectar vulnerabilidades en bibliotecas y sugerir versiones más seguras. Al integrar Dependabot, puedes mejorar la seguridad y estabilidad de tu proyecto sin tener que hacerlo manualmente. Su uso es una buena práctica en el manejo de repositorios, complementando la seguridad y análisis de código que se menciona en la clase.

Mirta Astrid Salgado Hernández

Estudiante

El code scanning lo encontre en: Advance d security

Secret scanning : secret protection

Diego Arango

Estudiante

Para quiénes llegan a esta clase por primera vez y se pierden con lo de "la clase anterior" y los archivos creados, vayan primero a la Clase 33 "Configuración de Repositorios Privados en GitHub", https://platzi.com/cursos/gitgithub/mantenimiento-de-repositorios-seguros/ esa debería ir antes de esta y luego si continuen el orden.

Albert Jose Salas Yustiz

Estudiante

MUY CIERTO LA PARTE DEL GITHUB ACERCA DEL gitignore, NO ESTA EN LA CLASE ANTERIOR, Y EN ESTA TAN SOLO LA MENCIONA COMO POSIBLE SOLUCIÓN PARA EVITAR LOS ERRORES ACERCA DE LA SEGURIDAD...

Albert Jose Salas Yustiz

Estudiante

Por supuesto que esto según lo comentado por el profesor como el gitignore, es para corregir errores, pero con las buenas practicas deberíamos evitar cometer el error de compartir información importante y delicada de forma publica...

Carlos Axel Espinosa Ramirez

Estudiante

Además de usar git-filter-repo, puedes optar por git rebase -i para eliminar commits específicos del historial sin perder todo el historial. Esto te permite interactuar con los commits y eliminar los que contienen información sensible. Otra opción es crear una nueva rama desde un commit anterior al problema y luego reintegrar cambios necesarios, omitiendo los no deseados. Sin embargo, recuerda que cualquier alteración del historial puede complicar la colaboración con otros. Siempre es mejor prevenir subiendo secretos en archivos como .env o en configuraciones externas.

Samuel Steven Bernal Martínez

Estudiante

alguna idea de porqué mi Secret scanning no detectó nada?

Raul Morales

Estudiante

cabe aclarar que lo que nos muestra en esta clase esta desactualizado a la interfaz actual de github lo cual hace dificil o imposible que repliquemos la clase con nuestros proyectos

Toni Alexander Ramírez Abrego

Estudiante

La mitigación de brechas de seguridad en GitHub es fundamental para proteger repositorios y mantener proyectos seguros mediante buenas prácticas, control de accesos y actualización constante de dependencias.

Diego Mauricio Zuluaga Rodríguez

Estudiante

¿Cómo evito subir secretos a mi repositorio?

La estrategia más efectiva y profesional es la prevención mediante el uso combinado de variables de entorno y el archivo .gitignore. En lugar de escribir las credenciales directamente en tu código fuente (una mala práctica conocida como hardcoding), debes referenciar variables externas que se inyectan en tiempo de ejecución. Para lograrlo correctamente, crea un archivo local de configuración, como .env o appsettings.json, donde almacenarás tus llaves reales. Luego, el paso más crítico es agregar el nombre exacto de ese archivo a tu .gitignore antes de hacer tu primer commit o de ejecutar git add. De esta manera, Git ignorará por completo el archivo que contiene los secretos, manteniendo tu repositorio en la nube completamente limpio y seguro. Mientras tanto, tu aplicación seguirá funcionando perfectamente a nivel local al leer las variables de entorno de ese archivo oculto.

José Lancheros Ayora

Estudiante

Clase 33

Fernando Hernández Santos

Estudiante

Las clases están desordenadas, el orden correcto va así

-Configuración de repositorios privados -Mitigación de brechas de seguridad -Gestión de seguridad en paquetes con dependabot

Fundamentos de Git y control de versiones

Control de Versiones con Git y GitHub: De Básico a Avanzado

Fundamentos de Git: Configuración y Comandos Básicos

Control de Versiones con Git: Comandos Básicos y Flujo de Trabajo

Gestión de ramas en Git: creación, fusión y eliminación eficiente

Git reset vs revert para deshacer commits

Git Tag y Checkout sin romper tu proyecto

Cómo resolver conflictos de merge en Git

Uso de Git en Visual Studio Code

Introducción a GitHub

Uso de GitHub para Colaboración y Desarrollo Seguro

Cómo crear y proteger tu cuenta de GitHub

Proceso de Trabajo con Git y GitHub: Creación y Revisión de Repositorios

Crea y clona tu primer repo en GitHub

Precios y Planes de Productos de Github

Configuración de SSH en GitHub para Windows, Linux y Mac

Uso de Forks y Estrellas en Repositorios de GitHub

Uso de git pull, git push y git fetch en repositorios GitHub

Plantillas de issues en GitHub paso a paso

Uso de Pull Requests en GitHub para Colaboración Efectiva

Herramientas de colaboración en GitHub

GitHub Projects para gestionar tareas en equipo

Automatiza GitHub Projects con workflows

Recursos Esenciales de Markdown para Documentación Efectiva

Creación de una Portada de Perfil en GitHub con Markdown

Creación y Gestión de Wikis en GitHub

Uso de GitHub Gist para Compartir y Revisar Código Colaborativo

Creación y Publicación de Sitios Web con GitHub Pages

GitHub Codespaces

Creación y Gestión de GitHub Codespaces en la Nube

Plantillas de Codespaces con Django y devcontainer

Pair programming con Live Share en Codespaces

Uso del Editor Web de GitHub para Edición Rápida de Archivos

Seguridad y buenas prácticas en GitHub

Gestión de GitHub Tokens para Acceso Seguro a Repositorios

Gestión de Seguridad de Paquetes con Dependabot en Proyectos .NET

Repositorios privados y .gitignore en GitHub