Introducción
Esta guía te muestra cómo configurar las características de seguridad para una organización. Las necesidades de seguridad de tu organización son únicas y puede que no necesites habilitar cada una de las características de seguridad. Para obtener más información, vea «Características de seguridad de GitHub».
Algunas características están disponibles para los repositorios en todos los planes. Las características adicionales se encuentran disponibles para las empresas que utilizan la GitHub Advanced Security. Las características de la GitHub Advanced Security también se habilitan para todos los repositorios públicos de GitHub.com. Para obtener más información, vea «Acerca de GitHub Advanced Security».
Administrar el acceso a tu organización
Puedes utilizar roles para controlar qué acciones pueden tomar las personas en tu organización. Por ejemplo, puedes asignar el rol de administrador de seguridad a un equipo para proporcionarles la capacidad de administrar la configuración de seguridad en toda la organización, así como el acceso de lectura a todos los repositorios. Para más información, consulta "Roles en una organización".
Crear una política de seguridad predeterminada
Puedes crear una política de seguridad predeterminada que se mostrará en cualquier repositorio público de tu organización que no tenga su propia política de seguridad. Para obtener más información, vea «Creación de un archivo predeterminado de mantenimiento de la comunidad».
Administrar las Dependabot alerts y la gráfica de dependencias
GitHub detecta vulnerabilidades en repositorios públicos y muestra la gráfica de dependencias. Puedes habilitar las Dependabot alerts para todos los repositorios públicos que pertenezcan a tu organización. Puedes habilitar o inhabilitar las Dependabot alerts y la gráfica de dependencias para todos los repositorios privados que pertenezcan a tu organización.
- Haga clic en la foto del perfil y después en Organizaciones.
- Haga clic en Configuración junto a la organización.
- Haga clic en Seguridad y análisis.
- Haga clic en Habilitar todo o Deshabilitar todo junto a la característica que quiera administrar.
- Opcionalmente, seleccione Habilitar automáticamente para los nuevos repositorios.
Para más información, consulte "Acerca de las alertas Dependabot," "Explorar las dependencias de un repositorio" y "Administrar la configuración de seguridad y análisis de su organización".
Administrar la revisión de dependencias
La revisión de dependencias es una característica de Advanced Security que te permite visualizar los cambios en las dependencias de las solicitudes de cambios antes de que se fusionen en tus repositorios. Para obtener más información, vea «Acerca de la revisión de dependencias».
La revisión de dependencias ya se habilitó en todos los repositorios públicos. En el caso de los repositorios internos y privados que pertenezcan a una organización, puedes habilitar la revisión de dependencias si habilitas la gráfica de dependencias y después la Advanced Security (ver a continuación).
Administrar las Dependabot security updates
En el caso de cualquier repositorio que utilice las Dependabot alerts, puedes habilitar las Dependabot security updates para levantar solicitudes de cambio con actualizaciones de seguridad cuando se detectan las vulnerabilidades. También puedes habilitar o inhabilitar las Dependabot security updates para todos los repositorios a lo largo de tu organización.
- Haga clic en la foto del perfil y después en Organizaciones.
- Haga clic en Configuración junto a la organización.
- Haga clic en Seguridad y análisis.
- Haga clic en Habilitar todo o Deshabilitar todo junto a Dependabot security updates.
- Opcionalmente, seleccione Habilitar automáticamente para los nuevos repositorios.
Para obtener más información, vea «Sobre las actualizaciones de seguridad de Dependabot» y «Administrar la configuración de seguridad y análisis de su organización».
Administrar las Dependabot version updates
Puedes habilitar el Dependabot para levantar automáticamente las solicitudes de cambios para mantener tus dependencias actualizadas. Para obtener más información, vea «Acerca de las actualizaciones a la versión del Dependabot».
Para habilitar Dependabot version updates, debe crear un archivo de configuración dependabot.yml. Para obtener más información, vea «Configuración de las actualizaciones de versiones de Dependabot».
Admnistrar la GitHub Advanced Security
Si la organización es propiedad de una empresa que tiene una licencia de Advanced Security, puede habilitar o deshabilitar características deAdvanced Security.
- Haga clic en la foto del perfil y después en Organizaciones.
- Haga clic en Configuración junto a la organización.
- Haga clic en Seguridad y análisis.
- Haga clic en Habilitar todo o Deshabilitar todo junto a GitHub Advanced Security.
- Opcionalmente, seleccione Habilitar automáticamente para los nuevos repositorios privados.
Para obtener más información, vea «Acerca de GitHub Advanced Security» y «Administrar la configuración de seguridad y análisis de su organización».
Configurar el secret scanning
Secret scanning está disponible para todos los repositorios públicos, así como para los paquetes npm públicos. Las organizaciones que usan GitHub Enterprise Cloud con Advanced Securityademás pueden habilitar secret scanning para repositorios privados e internos.
Puedes habilitar o deshabilitar secret scanning para todos los repositorios públicos en toda la organización, y para todos los repositorios privados e internos en los que se haya habilitado GitHub Advanced Security.
- Haga clic en la foto del perfil y después en Organizaciones.
- Haga clic en Configuración junto a la organización.
- Haz clic en Seguridad y análisis del código.
- Haz clic en Habilitar todo o Deshabilitar todo junto a Secret scanning.
- En el cuadro de diálogo que se muestra, opcionalmente seleccione Habilitar automáticamente para los nuevos repositorios públicos y repositorios con Advanced Security habilitado.
- Haga clic en el botón para habilitar o deshabilitar en el cuadro de diálogo para confirmar el cambio.
Para obtener más información, vea «Administrar la configuración de seguridad y análisis de su organización».
Configuración de code scanning
Code scanning está disponible para todos los repositorios públicos. Las organizaciones que usan GitHub Enterprise Cloud con Advanced Security pueden utilizar adicionalmente el code scanning para los repositorios privados e internos.
Puede habilitar o deshabilitar la configuración predeterminada de code scanning para todos los repositorios aptos que son públicos y para todos los repositorios privados e internos en toda la organización con GitHub Advanced Security habilitado. Para obtener más información sobre los repositorios aptos, consulte Configuración del análisis de código a escala mediante CodeQL.
En el caso de los repositorios que no son aptos para la configuración predeterminada, puede establecer la configuración avanzada en el nivel de repositorio. Para obtener más información, vea «Configuración del análisis de código para un repositorio».
Nota: La capacidad de habilitar y deshabilitar la configuración predeterminada para code scanning para repositorios aptos en una organización está actualmente en versión beta y está sujeta a cambios. Durante la versión beta, si deshabilita los datos CodeQL code scanning para todos los repositorios, este cambio no se reflejará en la información de cobertura que se muestra en la información de seguridad de la organización. Los repositorios seguirán teniendo code scanning habilitado en esta vista.
- Haga clic en la foto del perfil y después en Organizaciones.
- Haga clic en Configuración junto a la organización.
- Haz clic en Seguridad y análisis del código.
- Haga clic en Habilitar todo o Deshabilitar todo junto a Code scanning.
- En el cuadro de diálogo "Habilitar code scanning para repositorios aptos" o "Deshabilitar code scanning", haga clic en Habilitar para repositorios aptos o Deshabilitar code scanning para confirmar el cambio.
Pasos siguientes
Puedes ver y administrar las alertas de las características de seguridad para abordar dependencias y vulnerabilidades en tu código. Para obtener más información, consulta "Visualización y actualización de alertas de Dependabot", "Administrar las solicitudes de extracción para las actualizaciones de dependencia", "Administración de alertas de examen de código para el repositorio" y "Administración de alertas del examen de secretos".
También puedes supervisar las respuestas a las alertas de seguridad dentro de la organización. Para más información, consulta "Auditoría de alertas de seguridad".
Si tienes una vulnerabilidad de seguridad, puedes crear una asesoría de seguridad para debatir y resolver dicha vulnerabilidad en privado. Para obtener más información, vea «Acerca de las asesorías de seguridad de repositorio» y «Creación de un aviso de seguridad de repositorio».
El usuario pueden ver, filtrar, y ordenar alertas de seguridad para repositorios propiedad de su organización en información general sobre seguridad. Para más información, consulta "Información general sobre seguridad".