Creación de una configuración de seguridad personalizada

Cree una custom security configuration para satisfacer las necesidades de seguridad específicas de los repositorios de su organización.

¿Quién puede utilizar esta característica?

Los propietarios de la organización y los administradores de seguridad pueden administrar security configurations y global settings para una organización.

En este artículo

Nota: Security configurations y global settings están en versión beta y están sujetas a cambios. Para proporcionar comentarios sobre estas características, consulte la discusión sobre comentarios.

Acerca de custom security configurations

Se recomienda proteger la organización con la GitHub-recommended security configuration y después evaluar los resultados de seguridad en los repositorios antes de configurar custom security configurations. Para obtener más información, vea «Aplicación de la configuración de seguridad recomendada por GitHub en su organización».

Con custom security configurations, puede crear colecciones de opciones de configuración de habilitación para los productos de seguridad de GitHub para satisfacer las necesidades de seguridad específicas de su organización. Por ejemplo, puede crear una custom security configuration diferente para cada grupo de repositorios para reflejar sus diferentes niveles de visibilidad, tolerancia al riesgo e impacto.

Cómo crear una custom security configuration

Nota: el estado de habilitación de algunas características de seguridad depende de otras características de seguridad de nivel superior. Por ejemplo, deshabilitar el gráfico de dependencias también deshabilitará Dependabot, el análisis de exposición de vulnerabilidades y las actualizaciones de seguridad. Para security configurations, las características de seguridad dependientes se indican con una sangría y .

  1. En la esquina superior derecha de GitHub.com, selecciona la foto de perfil y luego haz clic en Sus organizaciones.

    Captura de pantalla del menú desplegable en la imagen de perfil de @octocat. "Sus organizaciones" se destaca en naranja oscuro.

  2. En el nombre de la organización, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de las pestañas en el perfil de una organización. La pestaña "Configuración" se destaca en naranja oscuro.

  3. En la sección "Seguridad" de la barra lateral, seleccione el menú desplegable Seguridad del código y, a continuación, haga clic en Configuraciones.

  4. En la sección "Configuraciones de seguridad de código", haga clic en Nueva configuración.

  5. Para ayudar a identificar su custom security configuration y clarificar su finalidad en la página "Código security configurations", asigne un nombre a la configuración y cree una descripción.

  6. En la fila "Características de GitHub Advanced Security", elija si quiere incluir o excluir características de GitHub Advanced Security (GHAS). Si tiene previsto aplicar una custom security configuration con características de GHAS a repositorios privados, debe contar con licencias de GHAS disponibles para cada confirmador único activo en esos repositorios o las características no se habilitarán. Para obtener más información sobre los confirmadores y las licencias de GHAS, consulte "Acerca de la facturación de GitHub Advanced Security".

  7. En la sección "Gráfico de dependencias" de la tabla de configuración de seguridad, elija si desea habilitar, deshabilitar o mantener la configuración existente para las siguientes características de seguridad:

    Nota: no puede cambiar manualmente la configuración de habilitación de las llamadas de función vulnerables. Si las características de GitHub Advanced Security y Dependabot alerts están habilitadas, también se habilitan las llamadas a funciones vulnerables. De lo contrario, estarán deshabilitadas.

  8. En la sección "Code scanning" de la tabla de configuración de seguridad, elija si desea habilitar, deshabilitar o mantener los ajustes existentes correspondientes a la configuración predeterminada de code scanning. Para obtener información sobre la configuración predeterminada, consulte "Establecimiento de la configuración predeterminada para el examen del código".

  9. En la sección "Secret scanning" de la tabla de configuración de seguridad, elija si desea habilitar, deshabilitar o mantener la configuración existente para las siguientes características de seguridad:

  10. En la sección "Informes de vulnerabilidades privados" de la tabla de configuración de seguridad, elija si desea habilitar, deshabilitar o mantener la configuración existente para los informes de vulnerabilidades privados. Para obtener más información sobre los informes de vulnerabilidades privadas, consulte "Configuración de informes de vulnerabilidades privadas para un repositorio".

  11. Opcionalmente, en la sección “Directiva”, puede optar por aplicar automáticamente el security configuration a los repositorios recién creados en función de su visibilidad. Seleccione el menú desplegable Ninguno y, a continuación, haga clic en Público, en Privado e interno o en ambos.

    Nota: El security configuration predeterminado para una organización solo se aplica automáticamente a nuevos repositorios creados en su organización. Si un repositorio se transfiere a su organización, deberá aplicar manualmente un security configuration adecuado al repositorio.

  12. Para terminar de crear su custom security configuration, haga clic en Guardar configuración.

Pasos siguientes

Para aplicar su custom security configuration a los repositorios de su organización, consulte "Aplicación de una configuración de seguridad personalizada".

Para obtener información sobre cómo editar custom security configuration, consulte "Edición de una configuración de seguridad personalizada".