Inicio rápido para proteger su organización

Puedes utilizar varias características de GitHub para ayudar a mantener tu organización segura.

¿Quién puede utilizar esta característica?

Organization owners and security managers can manage security features for an organization.

En este artículo

Introducción

Como propietario o administrador de seguridad de la organización, puedes usar las características de seguridad de GitHub para proteger el código, las dependencias y los secretos de la organización. Para obtener más información, vea «Características de seguridad de GitHub».

Las necesidades de seguridad de una organización son únicas. Quizás quieras habilitar una característica si tu organización se ha visto afectada por una vulnerabilidad que habría impedido una determinada característica, o si la característica va a ayudar a la organización a satisfacer un requisito de cumplimiento.

Puedes habilitar características de seguridad en varios repositorios de una organización al mismo tiempo. Para cada característica que quieras habilitar, debes decidir cómo implementarla en los repositorios de la organización. Diferentes características tienen efectos diferentes en su organización y sus colaboradores, por lo que es importante evaluar el impacto que tendrá cada una. Por ejemplo:

  • Algunas características pueden generar notificaciones para informar a los miembros de la organización sobre vulnerabilidades específicas: para asegurarte de que estas notificaciones son específicas y pertinentes, es posible que quieras pedir a los miembros que comprueben su configuración de notificaciones antes de habilitar una característica. Para obtener más información, vea «Configuración de notificaciones».
  • Algunas características pueden consumir recursos en cada repositorio en el que están habilitadas. Por ejemplo, habilitar code scanning en un repositorio privado puede consumir una licencia de GitHub Advanced Security, y ejecutar análisis de code scanning en un repositorio incurrirá en el uso de GitHub Actions u otro sistema de CI.

Como propietario de la organización, puedes conceder a determinados usuarios permiso para habilitar o deshabilitar las características de seguridad mediante la asignación del rol "administrador de seguridad" a un equipo. Los administradores de seguridad pueden configurar la seguridad y supervisar el uso de características de seguridad en toda la organización. Para obtener más información, vea «Gestionar a los administradores de seguridad en tu organización».

Acerca de los requisitos previos de las características

Algunas características de seguridad tienen requisitos previos. Por ejemplo, Dependabot alerts usan información del gráfico de dependencias, por lo que habilitar Dependabot alerts habilita automáticamente dicho gráfico.

Algunas características se habilitan de forma predeterminada en repositorios públicos. En repositorios privados, algunas características solo están disponibles para empresas que usan GitHub Advanced Security y han habilitado Advanced Security como característica en los repositorios. Para obtener más información, vea «Acerca de GitHub Advanced Security».

Hay algunas características que debes configurar para cada repositorio. Por ejemplo, para habilitar Dependabot version updates en un repositorio, debes agregar un archivo dependabot.yml que especifique dónde encontrar información sobre las dependencias del proyecto. Para obtener más información, vea «Configuración de las actualizaciones de versiones de Dependabot».

Habilitación de características de seguridad en la organización

Cuando hayas decidido habilitar una característica de seguridad, el siguiente paso es decidir cómo implementarla en la organización.

  • Si desea habilitar varias características de seguridad a gran escala, puede usar custom security configuration, una colección de opciones de configuración de habilitación de seguridad que puede aplicar a los repositorios de una organización. Consulte "Habilitación de características de seguridad a gran escala".

    Nota: Security configurations y global settings están en versión beta y están sujetos a cambios.

  • Si quiere implementar una característica única lo antes posible, puede habilitarla a la vez para todos los repositorios que la admitan. Para más información, consulta "Habilitación de una característica en todos los repositorios".

  • Si quieres controlar la rapidez con la que implementas una característica y qué características están habilitadas en qué repositorios, puedes habilitar una característica para una selección de repositorios. Para más información, consulta "Habilitación de una característica para una selección de repositorios".

Cuando hayas decidido cómo habilitar una característica para los repositorios existentes de la organización, también debes decidir cómo controlar los nuevos repositorios creados en tu organización en el futuro. Para más información, consulta "Habilitación de una característica para nuevos repositorios".

Habilitación de una característica para todos los repositorios

La forma más rápida de implementar una característica de seguridad es habilitarla para todos los repositorios de la organización a la vez. Si has identificado la necesidad crítica de una característica, habilitarla para todos los repositorios te ofrece protección en toda la organización, sin necesidad de parar para diseñar un plan de implementación.

Antes de habilitar una característica en todos los repositorios, debes tener en cuenta el impacto que tendrá esta acción. Si no estás seguro de los efectos que tendrá una característica, es más seguro empezar habilitando la característica en una selección limitada de estos. Es probable que habilitar una característica en todos los repositorios a la vez sea una opción adecuada en las situaciones siguientes.

  • Tiene información general de todos los repositorios de la organización y estás seguro de que todos se beneficiarán de una determinada característica.
  • Si una característica requiere recursos, como licencias de GitHub Advanced Security o minutos de GitHub Actions, has evaluado los recursos necesarios y estás de acuerdo en seguir adelante.
  • Si la característica genera notificaciones o solicitudes de incorporación de cambios, puedes estar seguro de que serán específicas y pertinentes para los miembros que las reciben o tienen que revisarlas.

Cuando estés listo para continuar, sigue estos pasos para habilitar una característica en todos los repositorios.

  1. En GitHub.com, ve a la página principal de la organización.

  2. En el nombre de la organización, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de las pestañas en el perfil de una organización. La pestaña "Configuración" se destaca en naranja oscuro.

  3. En la barra lateral izquierda, haz clic en Seguridad y análisis del código.

  4. Busque la característica que desea habilitar y use las casillas asociadas para ajustar las opciones.

  5. Cuando estés listo para habilitar una característica en todos los repositorios de la organización donde se admita, junto al nombre de la característica, haz clic en Habilitar todo.

Al hacer clic en Habilitar todo, se te pedirá que confirmes tu elección. También se te informará de si la característica depende de otra característica o requiere GitHub Advanced Security. Para obtener más información, vea «Administrar la configuración de seguridad y análisis de su organización».

Habilitación de una característica en una selección de repositorios

En algunos casos, es mejor identificar una selección de repositorios que requieren una característica y, luego, habilitar la característica solo en ellos.

Si no estás seguro del impacto que tendrá una característica, es posible que quieras probarla en una selección limitada de repositorios antes de confirmar la habilitación de la característica en todos ellos; o puede que quieras implementar la característica de forma gradual en varias fases. Puede que también seas consciente de que algunos repositorios de tu organización requieren un conjunto de características distinto al de otros.

Cuando hayas identificado los repositorios que requieren una característica, puedes habilitarla para cada uno. Como propietario o administrador de seguridad de la organización, puedes configurar la seguridad de cada repositorio de la organización. Para obtener más información, vea «Inicio rápido para proteger el repositorio».

En el caso de las organizaciones de GitHub Enterprise Cloud, puedes usar la vista "Cobertura de seguridad" para identificar repositorios que requieren una característica y, luego, habilitar esa característica en ellos. Para más información, consulta "Habilitación de características de seguridad para varios repositorios" en la documentación de GitHub Enterprise Cloud.

Habilitación de una característica en nuevos repositorios

Puedes optar por habilitar automáticamente una característica de seguridad en todos los repositorios nuevos que se crean en tu organización. La habilitación de características en nuevos repositorios garantiza que están protegidos inmediatamente y que las vulnerabilidades de los repositorios se identifican lo antes posible. Sin embargo, para usar las características de seguridad de la forma más eficaz posible, es posible que prefieras revisar cada nuevo repositorio de forma individual.

  1. En GitHub.com, ve a la página principal de la organización.

  2. En el nombre de la organización, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de las pestañas en el perfil de una organización. La pestaña "Configuración" se destaca en naranja oscuro.

  3. En la barra lateral izquierda, haz clic en Seguridad y análisis del código.

  4. Debajo del nombre de la característica, selecciona la opción para habilitar automáticamente la característica en repositorios futuros aplicables.

    Captura de pantalla de la página "Seguridad y análisis del código". Debajo de "Alertas de Dependabot", se resalta en naranja una casilla para habilitar la característica en repositorios futuros.

Supervisión del impacto de las características de seguridad

Cuando hayas habilitado una característica, debes comunicarte con los administradores y colaboradores del repositorio de tu organización para evaluar el impacto. Puede que tengas que ajustar la configuración de algunas características a nivel de repositorio o volver a evaluar la distribución de las características de seguridad en toda la organización. También debes supervisar las alertas de seguridad que genera una característica y las respuestas de los miembros a estas alertas.

Las organizaciones que usan GitHub Enterprise Cloud pueden emplear la información general de seguridad para ver qué equipos y repositorios están afectados por las alertas de seguridad, con un desglose de estas por gravedad. Para más información, consulte "Evaluación del riesgo de seguridad del código" en la documentación de GitHub Enterprise Cloud.

Puedes usar varias herramientas para supervisar las acciones que realizan los miembros de la organización en respuesta a las alertas de seguridad. Para más información, consulta "Auditoría de alertas de seguridad".

Pasos siguientes

Para ayudar a los usuarios a notificar vulnerabilidades de seguridad, puedes crear una directiva de seguridad predeterminada que se mostrará en cualquiera de los repositorios públicos de la organización que no tengan la suya propia. Para obtener más información, vea «Creación de un archivo predeterminado de mantenimiento de la comunidad».

Si usa GitHub Actions, puede usar las características de seguridad de GitHub que puede usar para aumentar la seguridad de los flujos de trabajo. Para obtener más información, vea «Uso de las características de seguridad de GitHub para proteger el uso de Acciones de GitHub».