Nota: El resumen de seguridad se encuentra actualmente en beta y está sujeto a cambios.
Acerca del resumen de seguridad
Puedes utilizar el resumen de seguirdad para tener una vista de nivel alto del estado de seguridad de tu organización o para identificar repositorios problemáticos que requieren intervención. A nivel organizacional, el resumen de seguridad muestra seguridad agregada y específica del repositorio para aquellos que pertenezcan a tu organización. A nivel de equipo, el resumen de seguridad muestra la información de seguridad específica del repositorio para aquellos en los que el equipo tenga privilegios de administración. Para obtener más información, consulta la sección "Administrar el acceso de un equipo a un repositorio organizacional".
El resumen de seguridad indica si las características de seguridadestán habilitadas para los repositorios que pertenecen a tu organización y consolidan las alertas para cada característica. Las características de seguridad incluyen aquellas de GitHub Advanced Security, tales como el escaneo de código y el escaneo de secretos, así como las Las alertas del dependabot. Para obtener más información sobre las características de GitHub Advanced Security, consulta la sección "Acerca de la GitHub Advanced Security". para obtener más información sobre las Las alertas del dependabot, consulta la sección "Acerca de las alertas para las dependencias vulnerables".
Para obtener más información sobre cómo proteger tu código a nivel de repositorio u organización, consulta las secciones "Proteger tu repositorio" y "Proteger tu organización".
En el resumen de seguridad, puedes ver, clasificar y filtrar las alertas para entender los riesgos de seguridad en tu organización y en los repositorios específicos. Puedes aplicar varios filtros para enfocarte en áreas de interés. Por ejemplo, puedes identificar repositorios privados que tengan una gran cantidad de Las alertas del dependabot o repositorios que no tengan alertas del escaneo de código.
Para cada repositorio en el resumen de seguridad, verás iconos de cada tipo de característica de seguridad y cuántas alertas hay para cada tipo. Si no se habilita una característica de seguridad para un repositorio, su icono se mostrará en gris.
| Icono | Significado |
|---|---|
| Alertas de Escaneo de código. Para obtener más información, consulta la sección "Acerca del escaneo de código". | |
| alertas del Escaneo de secretos. Para obtener más información, consulta la sección "Acerca del escaneo de secretos". | |
| Las alertas del dependabot. Para obtener más información, consulta la sección "Acerca de las alertas para las dependencias vulnerables". | |
| La característica de seguridad se habilitó pero no levanta alertas en este repositorio. | |
| La característica de seguridad no es compatible con este repositorio. |
Predeterminadamente, los repositorios archivados se excluyen del resumen de seguridad de una organización. Puedes aplicar filtros para ver los repositorios archivados en el resumen de seguridad. Para obtener más información, consulta la sección "Filtrar la lista de alertas".
El resumen de seguridad muestra alertas activas que levantan las características de seguridad. Si no hay alertas en el resumen de seguridad de un repositorio, las vulnerabilidades de seguridad no detectadas o los errores de código podrían aún existir.
Visualizar el resumen de seguridad de una organización
Los propietarios de las organizaciones pueden ver el resumen de seguridad de estas.
- En GitHub, navega hasta la página principal de la organización.
- Debajo del nombre de tu organización, haz clic en Seguridad.
- Para ver la información agregada sobre los tipos de alerta, haz clic en Mostrar más.
- Opcionalmente, filtra la lista de alertas. Puedes hacer clic en varios filtros de los menús desplegables de filtros para especificar tu búsqueda. También puedes teclear calificadores de búsqueda en el campo Buscar repositorios. Para obtener más información sobre los calificadores disponibles, consulta la sección "Filtrar la lista de alertas".
Visualizar el resumen de seguridad de un equipo
Los miembros de un equipo pueden ver el resumen de seguridad de los repositorios para los cuales dicho equipo tiene privilegios administrativos.
- En la esquina superior derecha de GitHub, haz clic en tu foto de perfil y luego en Tus organizaciones.
- Haz clic en el nombre de tu organización.
- Debajo del nombre de tu organización, da clic en
Equipos.
- En la pestaña de Equipos, da clic en el nombre del equipo.
- En la parte superior de la página del equipo, haz clic en Seguridad.
- Opcionalmente, filtra la lista de alertas. Puedes hacer clic en varios filtros de los menús desplegables de filtros para especificar tu búsqueda. También puedes teclear calificadores de búsqueda en el campo Buscar repositorios. Para obtener más información sobre los calificadores disponibles, consulta la sección "Filtrar la lista de alertas".
Filtrar la lista de alertas
Filtrar por nivel de riesgo para los repositorios
El nivel de riesgo de un repositorio se determina por la cantidad y severidad de las alertas de las características de seguridad. Si no están habilitadas una o más características de seguridad para un repositorio, este tendrá un nivel de riesgo desconocido. Si un repositorio no tiene riesgos que detecten las características de seguridad, este tendrá un nivel de riesgo claro.
| Qualifier | Descripción |
|---|---|
risk:high | Muestra los repositorios que tienen un riesgo alto. |
risk:medium | Muestra los repositorios que tienen un riesgo medio. |
risk:low | Muestra los repositorios que tienen un nivel de riesgo bajo. |
risk:unknown | Muestra los repositorios que tienen un nivel de riesgo desconocido. |
risk:clear | Muestra los repositorios que no tienen un nivel de riesgo detectado. |
Filtra por cantidad de alertas
| Qualifier | Descripción |
|---|---|
code-scanning-alerts:n | Muestra los repositorios que tienen n alertas del escaneo de código. Este calificador puede utilizar los operadores de comparación > y <. |
secret-scanning-alerts:n | Muestra los repositorios que tienen n alertas del escaneo de secretos. Este calificador puede utilizar los operadores de comparación > y <. |
dependabot-alerts:n | Muestra los repositorios que tienen n Las alertas del dependabot. Este calificador puede utilizar los operadores de comparación > y <. |
Filtrar por el criterio de tener habilitadas las características de seguridad
| Qualifier | Descripción |
|---|---|
enabled:code-scanning | Muestra los repositorios que tienen habilitado el escaneo de código. |
not-enabled:code-scanning | Muestra los repositorios que no tienen habilitado el escaneo de código. |
enabled:secret-scanning | Muestra los repositorios que tienen habilitado el escaneo de secretos. |
not-enabled:secret-scanning | Muestra los repositorios que tienen habilitado el escaneo de secretos. |
enabled:dependabot-alerts | Muestra los repositorios que tienen habilitadas las Las alertas del dependabot. |
not-enabled:dependabot-alerts | Muestra los repositorios que no tienen habilitadas las Las alertas del dependabot. |
Filtrar por tipo de repositorio
| Calificador | Descripción | | -------- | -------- | | is:public | Muestra repositorios públicos. | | is:internal | Muestra repositorios internos. | | is:private | Muestra repositorios privados. | | archived:true | Muestra repositorios archivados. |
Filtrar por equipo
| Qualifier | Descripción |
|---|---|
team:TEAM-NAME | Muestra los repositorios en los que TEAM-NAME tiene privilegios administrativos. |
Filtrar por tema
| Qualifier | Descripción |
|---|---|
topic:TOPIC-NAME | Muestra los repositorios que se clasifican con TOPIC-NAME. |
Clasifica la lista de alertas
| Qualifier | Descripción |
|---|---|
sort:risk | Clasifica los repositorios por riesgo en tu resumen de seguridad. |
sort:repos | Clasifica los repositorios en tu resumen de seguridad por órden alfabético de nombre. |
sort:code-scanning-alerts | Clasifica los repositorios en tu resumen de seguridad por la cantidad de alertas del escaneo de código. |
sort:secret-scanning-alerts | Clasifica los repositorios en tu resumen de seguridad por la cantidad de alertas del escaneo de secretos. |
sort:dependabot-alerts | Clasifica los repositorios en tu resumen de seguridad por cantidad de Las alertas del dependabot. |