Skip to main content

Protección de la organización

Puedes utilizar varias características de GitHub para ayudar a mantener tu organización segura.

Who can use this feature

Organization owners can configure organization security settings.

Introducción

Esta guía te muestra cómo configurar las características de seguridad para una organización. Las necesidades de seguridad de tu organización son únicas y puede que no necesites habilitar cada una de las características de seguridad. Para más información, vea "Características de seguridad de GitHub".

Algunas características están disponibles para los repositorios en todos los planes. Las características adicionales se encuentran disponibles para las empresas que utilizan la GitHub Advanced Security. Las características de la GitHub Advanced Security también se habilitan para todos los repositorios públicos de GitHub.com. Para más información, consulte "Acerca de GitHub Advanced Security".

Administrar el acceso a tu organización

Puedes utilizar roles para controlar qué acciones pueden tomar las personas en tu organización. Por ejemplo, puedes asignar el rol de administrador de seguridad a un equipo para proporcionarles la capacidad de administrar la configuración de seguridad en toda la organización, así como el acceso de lectura a todos los repositorios. Para más información, consulta "Roles en una organización".

Crear una política de seguridad predeterminada

Puedes crear una política de seguridad predeterminada que se mostrará en cualquier repositorio público de tu organización que no tenga su propia política de seguridad. Para más información, vea "Creación de un archivo de estado de la comunidad predeterminado".

Administrar las Dependabot alerts y la gráfica de dependencias

GitHub detecta vulnerabilidades en repositorios públicos y muestra la gráfica de dependencias. Puedes habilitar las Dependabot alerts para todos los repositorios públicos que pertenezcan a tu organización. Puedes habilitar o inhabilitar las Dependabot alerts y la gráfica de dependencias para todos los repositorios privados que pertenezcan a tu organización.

  1. Haga clic en la foto del perfil y después en Organizaciones.
  2. Haga clic en Configuración junto a la organización.
  3. Haga clic en Seguridad y análisis.
  4. Haga clic en Habilitar todo o Deshabilitar todo junto a la característica que quiera administrar.
  5. Opcionalmente, seleccione Habilitar automáticamente para los nuevos repositorios.

Para más información, vea "Acerca de Dependabot alerts", "Exploración de las dependencias de un repositorio" y "Administración de la configuración de seguridad y análisis de la organización".

Administrar la revisión de dependencias

La revisión de dependencias es una característica de Advanced Security que te permite visualizar los cambios en las dependencias de las solicitudes de cambios antes de que se fusionen en tus repositorios. Para más información, vea "Acerca de la revisión de dependencias".

La revisión de dependencias ya se habilitó en todos los repositorios públicos. En el caso de los repositorios internos y privados que pertenezcan a una organización, puedes habilitar la revisión de dependencias si habilitas la gráfica de dependencias y después la Advanced Security (ver a continuación).

Administrar las Dependabot security updates

En el caso de cualquier repositorio que utilice las Dependabot alerts, puedes habilitar las Dependabot security updates para levantar solicitudes de cambio con actualizaciones de seguridad cuando se detectan las vulnerabilidades. También puedes habilitar o inhabilitar las Dependabot security updates para todos los repositorios a lo largo de tu organización.

  1. Haga clic en la foto del perfil y después en Organizaciones.
  2. Haga clic en Configuración junto a la organización.
  3. Haga clic en Seguridad y análisis.
  4. Haga clic en Habilitar todo o Deshabilitar todo junto a Dependabot security updates.
  5. Opcionalmente, seleccione Habilitar automáticamente para los nuevos repositorios.

Para más información, vea "Acerca de Dependabot security updates" y "Administración de la configuración de seguridad y análisis para la organización".

Administrar las Dependabot version updates

Puedes habilitar el Dependabot para levantar automáticamente las solicitudes de cambios para mantener tus dependencias actualizadas. Para más información, vea "Acerca de Dependabot version updates".

Para habilitar Dependabot version updates, debe crear un archivo de configuración dependabot.yml. Para más información, vea "Configuración de las actualizaciones de la versión de Dependabot".

Admnistrar la GitHub Advanced Security

Si la organización es propiedad de una empresa que tiene una licencia de Advanced Security, puede habilitar o deshabilitar características deAdvanced Security.

  1. Haga clic en la foto del perfil y después en Organizaciones.
  2. Haga clic en Configuración junto a la organización.
  3. Haga clic en Seguridad y análisis.
  4. Haga clic en Habilitar todo o Deshabilitar todo junto a GitHub Advanced Security.
  5. Opcionalmente, seleccione Habilitar automáticamente para los nuevos repositorios privados.

Para más información, vea "Acerca de GitHub Advanced Security" y "Administración de la configuración de seguridad y análisis para la organización".

Configurar el secret scanning

Las Secret scanning son una característica de la Advanced Security que escanea los repositorios en busca de secretos que se hayan almacenado de forma no segura.

Las Secret scanning ya se encuentran habilitadas en todos los repositorios públicos. Las organizaciones que usan GitHub Enterprise Cloud con Advanced Security además pueden habilitar secret scanning para repositorios privados e internos.

Puede habilitar o deshabilitar secret scanning para todos los repositorios de la organización que tengan Advanced Security habilitado.

  1. Haga clic en la foto del perfil y después en Organizaciones.
  2. Haga clic en Configuración junto a la organización.
  3. Haga clic en Seguridad y análisis.
  4. Haga clic en Habilitar todo o Deshabilitar todo junto a Secret scanning (GitHub Advanced Security repositories only).
  5. Opcionalmente, seleccione Habilitar automáticamente para los repositorios privados agregados a Advanced Security .

Para más información, vea "Administración de la configuración de seguridad y análisis para la organización".

Configuración de code scanning

El Code scanning es una característica de Advanced Security que escanea el código en busca de vulnerabilidades y errores

El Code scanning se encuentra disponible para todos los repositorios públicos. Las organizaciones que utilizan GitHub Enterprise Cloud con Advanced Security pueden utilizar adicionalmente el code scanning para los repositorios privados e internos.

El Code scanning se configura a nivel de repositorio. Para más información, vea "Configuración de code scanning para un repositorio".

Pasos siguientes

Puedes ver y administrar las alertas de las características de seguridad para abordar dependencias y vulnerabilidades en tu código. Para más información, consulte "Visualización y actualización de Dependabot alerts", "Administración de solicitudes de incorporación de cambios para actualizaciones de dependencia", "Administración de code scanning para el repositorio" y "Administración de alertas de secret scanning".

Si tienes una vulnerabilidad de seguridad, puedes crear una asesoría de seguridad para debatir y resolver dicha vulnerabilidad en privado. Para más información, vea "Acerca de GitHub Security Advisories" y "Creación de un aviso de seguridad".

Tú puedes visualizar, filtrar y ordenar las alertas de seguridad de los repositorios de tu organización en la información general sobre seguridad. Para obtener más información, consulta "Acerca de la información general sobre seguridad."

Información adicional

"Acceso a los informes de cumplimiento de la organización"