Creating a custom security configuration

About custom security configurations

We recommend securing your organization with the GitHub-recommended security configuration, then evaluating the security findings on your repositories before configuring custom security configurations. For more information, see "Aplicación de la configuración de seguridad recomendada por GitHub en su organización."

With custom security configurations, you can create collections of enablement settings for GitHub's security products to meet the specific security needs of your organization. For example, you can create a different custom security configuration for each group of repositories to reflect their different levels of visibility, risk tolerance, and impact.

Creating a custom security configuration

1. En la esquina superior derecha de GitHub, seleccione la foto del perfil y haga clic en Sus organizaciones.

2. En el nombre de la organización, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

   

3. En la sección "Seguridad" de la barra lateral, seleccione el menú desplegable Seguridad del código y, a continuación, haga clic en Configuraciones.

4. In the "Code security configurations" section, click New configuration.

5. To help identify your custom security configuration and clarify its purpose on the "Code security configurations" page, name your configuration and create a description.

6. In the "GitHub Advanced Security features" row, choose whether to include or exclude GitHub Advanced Security (GHAS) features. If you plan to apply a custom security configuration with GHAS features to private repositories, you must have available GHAS licenses for each active unique committer to those repositories, or the features will not be enabled. See "Acerca de la facturación de GitHub Advanced Security."

7. In the "Dependency graph" section of the security settings table, choose whether you want to enable, disable, or keep the existing settings for the following security features:

   • Dependency graph. To learn about dependency graph, see "Acerca del gráfico de dependencias."

   • Automatic dependency submission. To learn about automatic dependency submission, see "Configuración del envío automático de dependencias para el repositorio."

   • Dependabot. To learn about Dependabot, see "Acerca de las alertas Dependabot."

   • Security updates. To learn about security updates, see "Sobre las actualizaciones de seguridad de Dependabot."

   Note

   You cannot manually change the enablement settings for vulnerable function calls. If GitHub Advanced Security features and Dependabot alerts are enabled, vulnerable function calls is also enabled. Otherwise, it is disabled.

8. In the "Code scanning" section of the security settings table, choose whether you want to enable, disable, or keep the existing settings for code scanning default setup. To learn about default setup, see "Establecimiento de la configuración predeterminada para el examen del código."

9. In the "Secret scanning" section of the security settings table, choose whether you want to enable, disable, or keep the existing settings for the following security features:

   • Secret scanning. To learn about secret scanning, see "Acerca del examen de secretos."
   • Validity check. To learn more about validity checks for partner patterns, see "Evaluación de alertas del examen de secretos".
   • Non-provider patterns. To learn more about scanning for non-provider patterns, see "Patrones de examen de secretos admitidos" and "Visualización y filtrado de alertas de análisis de secretos."
   • Push protection. To learn about push protection, see "Acerca de la protección de inserción."

10. Optionally, under "Push protection", choose whether you want to assign bypass privileges to selected actors in your organization. By assigning bypass privileges, selected organization members can bypass push protection, and there is a review and approval process for all other contributors. For further guidance on how to configure this setting, see "Habilitación de la omisión delegada para la protección de inserción."

11. In the "Private vulnerability reporting" section of the security settings table, choose whether you want to enable, disable, or keep the existing settings for private vulnerability reporting. To learn about private vulnerability reporting, see "Configuración de informes de vulnerabilidades privadas para un repositorio."

12. Optionally, in the "Policy" section, you can choose to automatically apply the security configuration to newly created repositories depending on their visibility. Select the None dropdown menu, then click Public, or Private and internal, or both.

    Nota: El security configuration predeterminado para una organización solo se aplica automáticamente a nuevos repositorios creados en su organización. Si un repositorio se transfiere a su organización, deberá aplicar manualmente un security configuration adecuado al repositorio.

13. Optionally, in the "Policy" section, you can enforce the configuration and block repository owners from changing features that are enabled or disabled by the configuration (features that are not set aren't enforced). Next to "Enforce configuration", select Enforce from the dropdown menu.

    Note

    Si un usuario de la organización intenta cambiar el estado de habilitación de una característica en una configuración aplicada mediante la API REST, la llamada a la API aparecerá correctamente, pero no cambiarán los estados de habilitación.

    Algunas situaciones pueden interrumpir la aplicación de security configurations para un repositorio. Por ejemplo, la habilitación de code scanning no se aplicará a un repositorio si:

    • GitHub Actions está habilitado inicialmente en el repositorio, pero luego se deshabilita en el repositorio.
    • Los GitHub Actions requeridos por code scanning no están disponibles en el repositorio.
    • Se cambia la definición para la que no se deben analizar los idiomas mediante la configuración predeterminada code scanning.

14. To finish creating your custom security configuration, click Save configuration.

Next steps

To apply your custom security configuration to repositories in your organization, see "Aplicación de una configuración de seguridad personalizada."

Para obtener información sobre cómo editar custom security configuration, consulte "Edición de una configuración de seguridad personalizada".