Acerca de las característicfas de seguridad de GitHub
GitHub tiene características de seguridad que ayudan a mantener seguros el código y los secretos en los repositorios y a través de las organizaciones. Algunas características están disponibles para los repositorios en todos los planes. Las características adicionales se encuentran disponibles para las empresas que utilizan la GitHub Advanced Security. Las características de la GitHub Advanced Security también se habilitan para todos los repositorios públicos de GitHub.com. Para obtener más información, vea «Acerca de GitHub Advanced Security».
La GitHub Advisory Database contiene una lista organizada de vulnerabilidades de seguridad que puedes ver, buscar y filtrar. Para obtener más información, vea «Exploración de los avisos de seguridad en GitHub Advisory Database».
Disponible para todos los repositorios
Directiva de seguridad
Facilítale a tus usuarios el poder reportar de forma confidencial las vulnerabilidades de seguridad que hayan encontrado en tu repositorio. Para obtener más información, vea «Agregar una política de seguridad a tu repositorio».
Avisos de seguridad
Debate en privado y arregla las vulnerabilidades de seguridad en el código de tu repositorio. Entonces podrás publicar una asesoría de seguridad para alertar a tu comunidad sobre la vulnerabilidad y exhortar a sus miembros a hacer la actualización correspondiente. Para obtener más información, vea «Acerca de las asesorías de seguridad de repositorio».
Dependabot alerts y actualizaciones de seguridad
Ver alertas acerca de las dependencias de las cuales se sabe contienen vulnerabilidades de seguridad y elige si se generarán automáticamente las solicitudes de extracción para actualizar dichas dependencias. Para obtener más información, vea «Acerca de las alertas Dependabot» y «Sobre las actualizaciones de seguridad de Dependabot».
Además, puede usar las reglas de alerta de Dependabot para evaluar automáticamente las alertas, por lo que puede descartar automáticamente las alertas y especificar qué alertas desea que Dependabot abra solicitudes de incorporación de cambios para. Para obtener más información, vea «About Dependabot auto-triage rules».
Para obtener información general sobre las diferentes características que ofrece Dependabot e instrucciones sobre cómo empezar, consulte "Guía de inicio rápido de Dependabot".
Dependabot version updates
Utilizan al Dependabot para levantar las solicitudes de cambios automáticamente para mantener tus dependencias actualizadas. Esto te ayuda a reducir tu exposición a las versiones anteriores de las dependencias. El utilizar versiones más nuevas facilita aún más la aplicación de parches si se descubren las vulnerabilidades de seguridad, y también facilita que las Dependabot security updates levante las solicitudes de cambios exitosamente para mejorar las dependencias vulnerables. También puedes personalizar Dependabot version updates para simplificar su integración en los repositorios. Para obtener más información, vea «Acerca de las actualizaciones a la versión del Dependabot».
Gráfico de dependencias
La gráfica de dependencias te permite explorar los ecosistemas y paquetes de los cuales depende tu repositorio y los repositorios y paquetes que dependen de tu repositorio.
Puede encontrar el gráfico de dependencias en la pestaña Conclusiones del repositorio. Para obtener más información, vea «Acerca del gráfico de dependencias».
Si tienes al menos acceso de lectura al repositorio, puedes exportar el gráfico de dependencias del repositorio como una la lista de materiales de software (SBOM) compatible con SPDX, a través de la interfaz de usuario de GitHub o la API REST de GitHub. Para obtener más información, vea «Exportación de una lista de materiales de software para el repositorio».
Resumen de seguridad para los repositorios
El resumen de seguridad muestra qué características de seguridad están habilitadas para el repositorio y te permite configurar cualquier característica de seguridad disponible que no se encuentre ya habilitada.
Disponible para repositorios públicos gratuitos
Alertas de examen de secretos para asociados
Detecta automáticamente secretos filtrados en todos los repositorios públicos, así como en los paquetes npm públicos. GitHub informa al proveedor de servicios relevante que los secretos podrían haberse puesto en riesgo. Para obtener más información sobre los secretos y proveedores de servicios admitidos, consulta "Patrones de análisis de secretos".
Disponible con GitHub Advanced Security
Las siguientes características de GitHub Advanced Security se encuentran disponibles y son gratuitas para los repositorios públicos en GitHub.com. Las organizaciones que utilizan GitHub Enterprise Cloud con una licencia para la GitHub Advanced Security pueden utilizar todo el conjunto de características en cualquiera de sus repositorios. Para obtener una lista de las características disponibles con GitHub Enterprise Cloud, vea la documentación de GitHub Enterprise Cloud.
Code scanning
Detecta automáticamente las vulnerabilidades de seguridad y los errores de código en el código nuevo o modificado. Se resaltan los problemas potenciales, con información detallada, lo cual te permite arreglar el código antes de que se fusione en tu rama predeterminada. Para obtener más información, vea «Acerca del examen de código».
Alertas de examen de secretos para usuarios
Detecta automáticamente tokens o credenciales que se haya registrado en un repositorio. Puedes ver las alertas de cualquier secreto que GitHub encuentre en tu código en la pestaña Seguridad del repositorio, para saber qué tokens o credenciales se deben considerar en riesgo. Para obtener más información, consulta "Acerca del examen de secretos".
Revisión de dependencias
Muestra el impacto total de los cambios a las dependencias y ve los detalles de cualquier versión vulnerable antes de que fusiones una solicitud de cambios. Para obtener más información, vea «Acerca de la revisión de dependencias».