Skip to main content

Auditoría de alertas de seguridad

GitHub proporciona numerosas herramientas que puedes usar para auditar y supervisar las acciones realizadas en respuesta a las alertas de seguridad.

Acerca de las herramientas de seguridad para auditores

GitHub proporciona herramientas para que los auditores de seguridad y los desarrolladores revisen y analicen las respuestas a las alertas de seguridad dentro de una empresa u organización. En esta guía se describen las herramientas, que incluyen escalas de tiempo históricas, información general de seguridad, registros de auditoría, la API y webhooks.

Los auditores de seguridad pueden usar estas herramientas para asegurarse de que se realizan las acciones adecuadas para resolver alertas de seguridad e identificar áreas de entrenamiento adicional. Los desarrolladores pueden usar estas herramientas para supervisar y depurar sus propias alertas de seguridad. Solo verá datos de repositorios y organizaciones a las que ya tiene acceso.

Escalas de tiempo de alertas de seguridad

Cada alerta de seguridad tiene una escala de tiempo histórica que muestra cuándo se creó la alerta o cuándo se detectó un problema. Cuando el estado de una alerta cambia, se registra en la escala de tiempo, independientemente de lo que causó el cambio, por ejemplo, Dependabot que cierra una alerta fija y un desarrollador que abre una alerta. Puedes ver la escala de tiempo histórica de una alerta en la página de alertas en la descripción del problema.

Muchos de los eventos de la escala de tiempo también crean un evento en el registro de auditoría, que puede consultar mediante la UI del registro de auditoría o la API. Para más información, consulta "Registro de auditoría".

Página de información general de seguridad

La información general de seguridad consolida la información sobre las alertas de seguridad y proporciona resúmenes de alto nivel del estado de seguridad de una empresa u organización.

En la información general de seguridad, puedes ver repositorios con alertas de seguridad abiertas, así como qué repositorios han habilitado características de seguridad específicas. También puedes usar la información general de seguridad para filtrar y ordenar las alertas de seguridad mediante vistas interactivas.

Para obtener más información, vea «Información general sobre seguridad».

Registro de auditoría

Puedes acceder a los registros de auditoría y buscarlos mediante la API o la UI del registro de auditoría. El registro de auditoría enumera los eventos que desencadenan las actividades que afectan a la empresa u organización, incluidos los eventos que se crean cuando hay determinadas interacciones con una alerta de seguridad. Las interacciones que crean un evento se pueden desencadenar manualmente o mediante automatización, por ejemplo, cuando Dependabot crea una alerta.

  • Los eventos de Secret scanning realizan un seguimiento cuando se crea, resuelve o vuelve a abrir una alerta y también cuando se omite la protección de inserción.
  • Dependabot realiza un seguimiento cuando se crea, descarta o resuelve una alerta.
  • Code scanning no crea eventos de escala de tiempo en un registro de auditoría.

Para obtener una lista de eventos de registro de auditoría, consulta "Eventos de registro de auditoría de la empresa" y "Eventos de registro de auditoría de la organización".

Para obtener información sobre cómo acceder al registro de auditoría de tu empresa u organización, consulta "Acceso al registro de auditoría de la empresa" y "Revisar el registro de auditoría de tu organización".

También puedes transmitir datos de auditoría de GitHub a un sistema de administración de datos externo, lo que le permite analizar y recopilar datos para gráficos internos. Los propietarios de las empresas pueden configurar la transmisión de registros de auditoría. Para más información, vea "Streaming del registro de auditoría para su empresa".

webhooks

Puedes configurar webhooks code_scanning_alert, dependabot_alert y secret_scanning_alert para recibir cargas cada vez que haya una respuesta a una alerta de seguridad en una organización o repositorio. También puedes definir en qué respuestas actuar, por ejemplo, puedes definir un webhook que realiza un seguimiento de las alertas de secret scanning creadas cuando alguien omite la protección de inserción mediante la propiedad de alerta "push_protection_bypassed": true.

También puedes integrar cargas de webhook en otras herramientas que uses para supervisar los comportamientos de seguridad e informar sobre estos. Por ejemplo, un webhook se activa cuando se crea, resuelve, o se vuelve a abrir. Después, puedes analizar la carga del webhook e integrarla en las herramientas que tú equipo usa, como Slack, Microsoft Teams, Splunk o el correo electrónico. Para obtener más información, consulta "Acerca de los webhooks" y "Eventos y cargas de webhook".

API

Puedes usar la API para enumerar las alertas de seguridad e interactuar con ellas, por ejemplo, para obtener la información más reciente sobre actualizaciones o rechazos de una alerta. También puedes usar la API para realizar actualizaciones adicionales en la alerta o automatizar acciones de seguimiento, como crear una nueva incidencia para cada alerta que necesite una acción adicional. Solo la API notifica el estado actual de una alerta.

API de alertes de Dependabot

Puedes enumerar todas las alertas de Dependabot para un repositorio, organización o empresa o usar parámetros de ruta de acceso para enumerar solo las alertas que cumplen un conjunto específico de criterios. Por ejemplo, es posible que solo quieras enumerar las alertas de Dependabot para Maven que se descartaron. Como alternativa, puedes obtener detalles completos para una alerta o actualizarla.

Para obtener más información, consulta "Alertas de Dependabot".

API de alertas de Secret scanning

Puedes enumerar todas las alertas de secret scanning para un repositorio, organización o empresa o usar parámetros de ruta de acceso para enumerar solo las alertas que cumplen un conjunto específico de criterios. Como alternativa, puedes obtener detalles completos para una alerta o actualizarla.

Para ver qué alertas de secret scanning fueron el resultado de una omisión de protección de inserción, filtra los resultados para "push_protection_bypassed": true.

Para obtener más información, consulta "Secret scanning".

API de alertas de Code scanning

Puedes enumerar todas las alertas de code scanning para un repositorio, organización o empresa o usar parámetros de ruta de acceso para enumerar solo las alertas que cumplen un conjunto específico de criterios. Como alternativa, puedes obtener detalles completos para una alerta o actualizarla.

Para obtener más información, consulta "Code scanning".

Información adicional