Inicio rápido para proteger el repositorio

Puedes utilizar varias características de GitHub para ayudar a mantener tu repositorio seguro.

¿Quién puede utilizar esta característica?

Propietarios de repositorios, propietarios de organizaciones, administradores de seguridad y usuarios con el rol de administrador

En este artículo

Introducción

Esta guía te muestra cómo configurar las características de seguridad para un repositorio. Debes ser un administrador de repositorio o propietario de organización para configurar las caracteristicas de seguridad de un repositorio.

Tus necesidades de seguridad son únicas de tu repositorio, así que puede que no necesites habilitar todas las características de seguridad para este. Para obtener más información, vea «Características de seguridad de GitHub».

Algunas características están disponibles para los repositorios en todos los planes. Las características adicionales se encuentran disponibles para las empresas que utilizan la GitHub Advanced Security. Las características de la GitHub Advanced Security también se habilitan para todos los repositorios públicos de GitHub. Para obtener más información, vea «Acerca de GitHub Advanced Security».

Administrar el acceso a tu repositorio

El primer paso para asegurar un repositorio es establecer quién puede ver y modificar tu código. Para obtener más información, vea «Administrar la configuración y características de tu repositorio».

Desde la página principal del repositorio, haz clic en Configuración y, después, desplázate hasta "Zona de peligro".

Administrar la gráfica de dependencias

El gráfico de dependencias se genera automáticamente para todos los repositorios públicos. Puedes optar por habilitarlo para bifurcaciones y repositorios privados. El gráfico de dependencias interpreta los archivos de manifiesto y bloqueo de un repositorio para identificar dependencias.

  1. Desde la página principal del repositorio, haga clic en Settings.
  2. Haga clic en Security & analysis.
  3. Junto al gráfico de dependencias, haga clic en Enable o Disable.

Para obtener más información, vea «Explorar las dependencias de un repositorio».

Administrar las Dependabot alerts

Las Dependabot alerts se generan cuando GitHub identifica una dependencia que presenta una vulnerabilidad en la gráfica de dependencias. Puedes habilitar las Dependabot alerts para cualquier repositorio.

Además, puedes usar las reglas de alerta de Dependabot para evaluar automáticamente las alertas, por lo que puede ignorar automáticamente las alertas y especificar para qué alertas quieres que Dependabot abra solicitudes de cambios. Para obtener información sobre los distintos tipos de reglas de evaluación de prioridades automáticas y si los repositorios son aptos, consulte "Acerca de Evaluación de prioridades automática de Dependabot".

Para obtener información general sobre las diferentes características que ofrece Dependabot e instrucciones sobre cómo empezar, consulta «Guía de inicio rápido de Dependabot».

  1. Haga clic en la foto de perfil y, a continuación, en Settings.
  2. Haga clic en Security & analysis.
  3. Haga clic en Enable all junto a Dependabot alerts.

Para obtener más información, consulta "Acerca de las alertas Dependabot" y "Administración de la configuración de seguridad y análisis para la cuenta personal".

Administrar la revisión de dependencias

La revisión de dependencias te permite visualizar los cambios a las dependencias en las solicitudes de cambios antes de que se fusionen con tus repositorios. Para obtener más información, vea «Acerca de la revisión de dependencias».

La revisión de dependencias es una característica de la GitHub Advanced Security. La revisión de dependencias ya se habilitó en todos los repositorios públicos. Las organizaciones que utilizan GitHub Enterprise Cloud con Advanced Security pueden habilitar la revisión de dependencias para repositorios internos y privados adicionalmente. Para obtener más información, consulte la documentación de GitHub Enterprise Cloud.

Administrar las Dependabot security updates

En el caso de cualquier repositorio que utilice las Dependabot alerts, puedes habilitar las Dependabot security updates para levantar solicitudes de cambio con actualizaciones de seguridad cuando se detectan las vulnerabilidades.

  1. Desde la página principal del repositorio, haga clic en Settings.
  2. Haga clic en Security & analysis.
  3. Junto a Dependabot security updates, haga clic en Enable.

Para obtener más información, vea «Sobre las actualizaciones de seguridad de Dependabot» y «Configuración de actualizaciones de seguridad de Dependabot».

Administrar las Dependabot version updates

Puedes habilitar el Dependabot para levantar automáticamente las solicitudes de cambios para mantener tus dependencias actualizadas. Para obtener más información, vea «Acerca de las actualizaciones a la versión del Dependabot».

  1. Desde la página principal del repositorio, haga clic en Settings.
  2. Haga clic en Security & analysis.
  3. Junto a Dependabot version updates, haz clic en Habilitar para crear un archivo de configuración dependabot.yml básico.
  4. Especifica las dependencias a actualizar y cualquier opción de configuración asociada, y sube el archivo al repositorio. Para obtener más información, vea «Configuración de las actualizaciones de versiones de Dependabot».

Configuración de code scanning

Note

El Code scanning se encuentra disponible para todos los repositorios públicos y para los privados que pertenezcan a las organizaciones que son parte de una empresa que cuente con licencia para GitHub Advanced Security.

Puedes configurar el code scanning para que identifique automáticamente las vulnerabilidades y los errores en el código que se almacena en tu repositorio si utilizas un Flujo de trabajo de análisis de CodeQL o una herramienta de terceros. En función de los lenguajes de programación del repositorio, puede configurar code scanning con CodeQL mediante la configuración predeterminada, en la que GitHub determina automáticamente los idiomas que se van a examinar, los conjuntos de consultas que se van a ejecutar y los eventos que desencadenarán un nueva digitalización. Para obtener más información, vea «Establecimiento de la configuración predeterminada para el examen del código».

  1. Desde la página principal del repositorio, haz clic en Configuración.
  2. En la sección "Seguridad" de la barra lateral, haz clic en Análisis y seguridad del código.
  3. En la sección "Code scanning", selecciona Configurar y, después, haz clic en Predeterminado.
  4. En la ventana emergente que aparece, revisa los valores de configuración predeterminados del repositorio y, después, haz clic en Habilitar CodeQL .

Como alternativa, puedes usar la configuración avanzada, que genera un archivo de flujo de trabajo que puedes editar para personalizar el code scanning con CodeQL. Para obtener más información, vea «Establecimiento de la configuración avanzada para el examen del código».

Configurar el secret scanning

Secret scanning está disponible para los repositorios siguientes:

  • Repositorios públicos (gratis)
  • Repositorios privados e internos en organizaciones que usan GitHub Enterprise Cloud con GitHub Advanced Security habilitado

  1. Desde la página principal del repositorio, haga clic en Settings.

  2. Haz clic en Seguridad y análisis del código.

  3. Haga clic en Enable junto a Secret scanning.

Configurar una política de seguridad

Si eres un mantenedor de repositorios, se recomienda especificar una directiva de seguridad para el repositorio mediante la creación de un archivo denominado SECURITY.md en el repositorio. Este archivo indica a los usuarios la mejor forma de ponerse en contacto y colaborar contigo cuando quieran notificar vulnerabilidades de seguridad en el repositorio. Puedes ver la directiva de seguridad de un repositorio en la pestaña Seguridad del repositorio.

  1. Desde la página principal del repositorio, haga clic en Security.
  2. Haga clic en Security policy.
  3. Haga clic en Iniciar configuración.
  4. Agrega información sobre las versiones compatibles con tu proyecto y de cómo reportar las vulnerabilidades.

Para obtener más información, vea «Agregar una política de seguridad a tu repositorio».

Pasos siguientes

Puedes ver y administrar las alertas de las características de seguridad para abordar dependencias y vulnerabilidades en tu código. Para más información, consulta «Visualización y actualización de alertas de Dependabot», «Administrar las solicitudes de extracción para las actualizaciones de dependencia», «Evaluación de alertas de análisis de código para el repositorio» y «Administración de alertas del examen de secretos».

También puedes usar las herramientas de GitHub para auditar las respuestas a las alertas de seguridad. Para obtener más información, consulta "Auditoría de alertas de seguridad".

Si tienes una vulnerabilidad de seguridad en un repositorio público, puedes crear una asesoría de seguridad para debatir y resolver dicha vulnerabilidad en privado. Para obtener más información, vea «Acerca de las asesorías de seguridad de repositorio» y «Creación de un aviso de seguridad de repositorio».

Si usa GitHub Actions, puede usar las características de seguridad de GitHub que puede usar para aumentar la seguridad de los flujos de trabajo. Para obtener más información, vea «Uso de las características de seguridad de GitHub para proteger el uso de Acciones de GitHub».