Protección de la organización

En este artículo

Puedes utilizar varias características de GitHub para ayudar a mantener tu organización segura.

Quién puede usar esta característica

Organization owners and security managers can manage security features for an organization.

Introducción

Como propietario o administrador de seguridad de la organización, puedes usar las características de seguridad de GitHub para proteger el código, las dependencias y los secretos de la organización. Para obtener más información, vea «Características de seguridad de GitHub».

Las necesidades de seguridad de una organización son únicas. Quizás quieras habilitar una característica si tu organización se ha visto afectada por una vulnerabilidad que habría impedido una determinada característica, o si la característica va a ayudar a la organización a satisfacer un requisito de cumplimiento.

Puedes habilitar características de seguridad en varios repositorios de una organización al mismo tiempo. Para cada característica que quieras habilitar, debes decidir cómo implementarla en los repositorios de la organización. Diferentes características tienen efectos diferentes en su organización y sus colaboradores, por lo que es importante evaluar el impacto que tendrá cada una. Por ejemplo:

  • Algunas características pueden generar notificaciones para informar a los miembros de la organización sobre vulnerabilidades específicas: para asegurarte de que estas notificaciones son específicas y pertinentes, es posible que quieras pedir a los miembros que comprueben su configuración de notificaciones antes de habilitar una característica. Para obtener más información, vea «Configuración de notificaciones».
  • Algunas características pueden consumir recursos en cada repositorio en el que están habilitadas. Por ejemplo, habilitar code scanning en un repositorio privado puede consumir una licencia de GitHub Advanced Security, y ejecutar análisis de code scanning en un repositorio incurrirá en el uso de GitHub Actions u otro sistema de CI.

Como propietario de la organización, puedes conceder a determinados usuarios permiso para habilitar o deshabilitar las características de seguridad mediante la asignación del rol "administrador de seguridad" a un equipo. Los administradores de seguridad pueden configurar la seguridad y supervisar el uso de características de seguridad en toda la organización. Para obtener más información, vea «Gestionar a los administradores de seguridad en tu organización».

Acerca de los requisitos previos de las características

Algunas características de seguridad tienen requisitos previos. Por ejemplo, Dependabot alerts usan información del gráfico de dependencias, por lo que habilitar Dependabot alerts habilita automáticamente dicho gráfico.

Algunas características se habilitan de forma predeterminada en repositorios públicos. En repositorios privados, algunas características solo están disponibles para empresas que usan GitHub Advanced Security y han habilitado Advanced Security como característica en los repositorios. Para obtener más información, vea «Acerca de GitHub Advanced Security».

Nota: Las empresas pueden establecer una directiva para administrar qué organizaciones pueden habilitar GitHub Advanced Security. Para obtener más información, vea «Aplicación de directivas de seguridad y análisis de código de la empresa».

Hay algunas características que debes configurar para cada repositorio. Por ejemplo, para habilitar Dependabot version updates en un repositorio, debes agregar un archivo dependabot.yml que especifique dónde encontrar información sobre las dependencias del proyecto. Para obtener más información, vea «Configuración de las actualizaciones de versiones de Dependabot».

Habilitación de características de seguridad en la organización

Cuando hayas decidido habilitar una característica de seguridad, el siguiente paso es decidir cómo implementarla en la organización.

Cuando hayas decidido cómo habilitar una característica para los repositorios existentes de la organización, también debes decidir cómo controlar los nuevos repositorios creados en tu organización en el futuro. Para más información, consulta "Habilitación de una característica para nuevos repositorios".

Para más información sobre cómo crear una estrategia para implementar características de seguridad en una organización o empresa de gran tamaño, consulta "Introducción a la adopción de la Seguridad Avanzada de GitHub a escala".

Habilitación de una característica para todos los repositorios

La forma más rápida de implementar una característica de seguridad es habilitarla para todos los repositorios de la organización a la vez. Si has identificado la necesidad crítica de una característica, habilitarla para todos los repositorios te ofrece protección en toda la organización, sin necesidad de parar para diseñar un plan de implementación.

Antes de habilitar una característica en todos los repositorios, debes tener en cuenta el impacto que tendrá esta acción. Si no estás seguro de los efectos que tendrá una característica, es más seguro empezar habilitando la característica en una selección limitada de estos. Es probable que habilitar una característica en todos los repositorios a la vez sea una opción adecuada en las situaciones siguientes.

  • Tiene información general de todos los repositorios de la organización y estás seguro de que todos se beneficiarán de una determinada característica.
  • Si una característica requiere recursos, como licencias de GitHub Advanced Security o minutos de GitHub Actions, has evaluado los recursos necesarios y estás de acuerdo en seguir adelante. Puedes participar en una evaluación gratuita de GitHub Advanced Security para probar una característica de GitHub Advanced Security en tus repositorios. Para más información sobre cómo configurar una evaluación gratuita, consulta "Configuración de una evaluación de GitHub Advanced Security".
  • Si la característica genera notificaciones o solicitudes de incorporación de cambios, puedes estar seguro de que serán específicas y pertinentes para los miembros que las reciben o tienen que revisarlas.

Cuando estés listo para continuar, sigue estos pasos para habilitar una característica en todos los repositorios.

  1. En GitHub.com, ve a la página principal de la organización.

  2. En el nombre de la organización, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de las pestañas en el perfil de una organización. La pestaña "Configuración" se destaca en naranja oscuro.

  3. En la barra lateral izquierda, haz clic en Seguridad y análisis del código.

  4. Busque la característica que desea habilitar y use las casillas asociadas para ajustar las opciones.

  5. Cuando estés listo para habilitar una característica en todos los repositorios de la organización donde se admita, junto al nombre de la característica, haz clic en Habilitar todo.

Al hacer clic en Habilitar todo, se te pedirá que confirmes tu elección. También se te informará de si la característica depende de otra característica o requiere GitHub Advanced Security. Para obtener más información, vea «Administrar la configuración de seguridad y análisis de su organización».

Habilitación de una característica en una selección de repositorios

En algunos casos, es mejor identificar una selección de repositorios que requieren una característica y, luego, habilitar la característica solo en ellos.

Si no estás seguro del impacto que tendrá una característica, es posible que quieras probarla en una selección limitada de repositorios antes de confirmar la habilitación de la característica en todos ellos; o puede que quieras implementar la característica de forma gradual en varias fases. Puede que también seas consciente de que algunos repositorios de tu organización requieren un conjunto de características distinto al de otros.

Puedes usar la vista "Cobertura de seguridad" para identificar los repositorios que requieren una determinada característica y, luego, habilitar la característica en ellos. En los pasos siguientes se describe cómo encontrar la vista "Cobertura de seguridad".

  1. En GitHub.com, ve a la página principal de la organización.

  2. En el nombre de la organización, haga clic en Seguridad .

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. En la barra lateral, haz clic en Cobertura de .

En esta vista, puedes usar casillas para seleccionar repositorios específicos o puedes usar la barra de búsqueda para encontrar los repositorios en los que quieres habilitar una característica. Por ejemplo, puedes usar filtros para identificar los repositorios en los que un determinado equipo tiene acceso de escritura o administrador, o bien excluir repositorios que no requieran el mismo nivel de protección, como repositorios de prueba o repositorios para documentación interna. A continuación, puedes habilitar a la vez características para todos los repositorios seleccionados. Para obtener más información, vea «Habilitación de características de seguridad para varios repositorios».

Si tienes un número limitado de licencias de GitHub Advanced Security, es posible que quieras dar prioridad a los repositorios que contienen proyectos críticos o que tengan las frecuencias de confirmación más altas. Para obtener más información, vea «Acerca de la facturación de GitHub Advanced Security». Al usar la vista "Cobertura de seguridad", puedes ver el número de confirmadores activos de los repositorios que selecciones y, por tanto, el número de licencias de GitHub Advanced Security que se consumirán al habilitar una característica.

Notas:

  • Al habilitar code scanning se invalidarán las configuraciones existentes de code scanning para los repositorios seleccionados, incluidas las selecciones y los flujos de trabajo anteriores del conjunto de consultas para configuraciones avanzadas.
  • Al habilitar "Alertas" para secret scanning se habilitan alertas de alta confianza. Si desea habilitar alertas que no son de proveedor, debe editar la configuración del repositorio, la organización o la empresa. Para obtener más información sobre los tipos de alerta, consulta "Secretos admitidos".

Habilitación de una característica en nuevos repositorios

Puedes optar por habilitar automáticamente una característica de seguridad en todos los repositorios nuevos que se crean en tu organización. La habilitación de características en nuevos repositorios garantiza que están protegidos inmediatamente y que las vulnerabilidades de los repositorios se identifican lo antes posible. Sin embargo, para usar las características de seguridad de la forma más eficaz posible, es posible que prefieras revisar cada nuevo repositorio de forma individual.

  1. En GitHub.com, ve a la página principal de la organización.

  2. En el nombre de la organización, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de las pestañas en el perfil de una organización. La pestaña "Configuración" se destaca en naranja oscuro.

  3. En la barra lateral izquierda, haz clic en Seguridad y análisis del código.

  4. Debajo del nombre de la característica, selecciona la opción para habilitar automáticamente la característica en repositorios futuros aplicables.

    Captura de pantalla de la página "Seguridad y análisis del código". Debajo de "Alertas de Dependabot", se resalta en naranja una casilla para habilitar la característica en repositorios futuros.

Supervisión del impacto de las características de seguridad

Cuando hayas habilitado una característica, debes comunicarte con los administradores y colaboradores del repositorio de tu organización para evaluar el impacto. Puede que tengas que ajustar la configuración de algunas características a nivel de repositorio o volver a evaluar la distribución de las características de seguridad en toda la organización. También debes supervisar las alertas de seguridad que genera una característica y las respuestas de los miembros a estas alertas.

You pueden emplear la información general de seguridad para ver qué equipos y repositorios están afectados por las alertas de seguridad, con un desglose de estas por gravedad. Para más información, consulta "Evaluación del riesgo de seguridad del código".

La Información general sobre seguridad también cuenta con un panel de control (beta) en el que puedes explorar tendencias y métricas de alto nivel para conocer mejor el panorama de la seguridad de la organización. Para obtener más información, vea "Visualización de la información sobre seguridad de su organización".

Puedes usar varias herramientas para supervisar las acciones que realizan los miembros de la organización en respuesta a las alertas de seguridad. Para más información, consulta "Auditoría de alertas de seguridad".

Pasos siguientes

Para ayudar a los usuarios a notificar vulnerabilidades de seguridad, puedes crear una directiva de seguridad predeterminada que se mostrará en cualquiera de los repositorios públicos de la organización que no tengan la suya propia. Para obtener más información, vea «Creación de un archivo predeterminado de mantenimiento de la comunidad».

Una vez implementada la configuración de seguridad de la organización, podrías impedir que los usuarios cambien la configuración de seguridad en un repositorio. Un propietario de empresa puede impedir que los administradores del repositorio habiliten o deshabiliten características en un repositorio. Para obtener más información, vea «Aplicación de directivas de seguridad y análisis de código de la empresa».

Información adicional

"Acceder a los reportes de cumplimiento de tu organización"