Skip to main content

Evaluación de la adopción de características de seguridad de código

Puede usar la información general de seguridad para ver qué equipos y repositorios ya han habilitado las características de seguridad de código e identificar los que aún no están protegidos.

¿Quién puede utilizar esta característica?

La información general de seguridad de una organización está disponible para todos los miembros de la organización. Las vistas y los datos que se muestran están determinados por su rol en la organización y por sus permisos para repositorios individuales dentro de la organización. Para más información, consulta "Información general sobre seguridad".

La información general sobre la seguridad de una empresa muestra a los propietarios de la organización y a los administradores de seguridad los datos de las organizaciones a las que tienen acceso. Los propietarios de empresas solo pueden ver datos para las organizaciones en las que se agregan como propietarios de la organización o administradores de seguridad. Para más información, consulta "Administración del rol en una organización que pertenece a la empresa".

All enterprises and their organizations have a security overview. If you use GitHub Advanced Security features, which are free for public repositories, you will see additional information. For more information, see "About GitHub Advanced Security."

Información sobre la adopción de características de seguridad de código

Puede usar información general de seguridad para ver qué repositorios y equipos ya han habilitado cada característica de seguridad de código y dónde los usuarios necesitan más estímulo para adoptar estas características. En la vista "Cobertura de seguridad" se muestra un resumen e información detallada sobre la habilitación de características para una organización. Puede filtrar la vista para mostrar un subconjunto de repositorios mediante los vínculos "habilitado" y "no habilitado", el menú desplegable "Teams" y un campo de búsqueda en el encabezado de página.

Captura de pantalla de la sección de encabezado de la vista "Cobertura de seguridad" en la pestaña "Seguridad" de una organización. Las opciones de filtrado se describen en naranja oscuro, incluidos los vínculos "habilitado" y "no habilitado", el selector "Teams" y el campo de búsqueda.

Puede descargar un archivo CSV de los datos que se muestran en la página “Cobertura de seguridad”. Este archivo de datos se puede usar para trabajos de investigación de seguridad y el análisis detallado de datos y se puede integrar fácilmente con conjuntos de datos externos. Para obtener más información, vea «Exportación de datos desde las páginas de riesgo y cobertura».

Visualización de la habilitación de las características de seguridad de código de una organización

Los datos que se muestran en la información general de seguridad varían según el acceso que tengas a los repositorios y las organizaciones, y según si esos repositorios y organizaciones usan GitHub Advanced Security. Para obtener más información, vea «Información general sobre seguridad».

En la lista de repositorios, la etiqueta "Paused" en "Dependabot" indica los repositorios para los cuales las actualizaciones de Dependabot updates están en pausa. Para obtener información sobre los criterios de inactividad, consulta "Sobre las actualizaciones de seguridad de Dependabot" y para obtener información sobre las actualizaciones de seguridad y de versión, consulta "Acerca de las actualizaciones a la versión del Dependabot".

  1. En GitHub.com, ve a la página principal de la organización.

  2. En el nombre de la organización, haga clic en Seguridad .

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. Para mostrar la vista "Cobertura de seguridad", en la barra lateral, haga clic en Cobertura .

  4. Use las opciones del resumen de la página para filtrar los resultados y mostrar los repositorios que desea evaluar. La lista de repositorios y métricas que se muestran en la página se actualizan automáticamente para que coincidan con la selección actual. Para obtener más información sobre los filtros, consulte "Filtrar alertas en la información general sobre seguridad."

    • Use el menú desplegable Teams para mostrar información solo para los repositorios que pertenecen a uno o varios equipos. Para obtener más información, vea «Administrar el acceso de equipo a un repositorio de la organización».
    • Haga clic en NUMBER habilitado o EN NUMBER no habilitado en el encabezado de cualquier característica para mostrar solo los repositorios con esa característica habilitada o no habilitada.
    • En la parte superior de la lista de repositorios, haga clic en NUMBER Archived para mostrar solo los repositorios archivados.
    • Haga clic en el cuadro de búsqueda para agregar más filtros a los repositorios que se muestran.

    Captura de pantalla de la sección de encabezado de la vista "Cobertura de seguridad" en la pestaña "Seguridad" de una organización. Las opciones de filtrado se describen en naranja oscuro, incluidos los vínculos "habilitado" y "no habilitado", el selector "Teams", los repositorios archivados y el campo de búsqueda.

  5. Opcionalmente, haga clic en Configuración de seguridad para habilitar las características de seguridad de código para un repositorio y haga clic en Guardar configuración de seguridad para confirmar los cambios. Si no se muestra una característica, tiene requisitos de configuración más complejos y debe usar el cuadro de diálogo de configuración del repositorio. Para obtener más información, vea «Asegurar tu repositorio».

  6. Opcionalmente, selecciona algunos o todos los repositorios que coincidan con la búsqueda actual y haz clic en Configuración de seguridad en el encabezado de tabla para mostrar un panel lateral donde puedes habilitar las características de seguridad para los repositorios seleccionados. Cuando hayas terminado, haz clic en Aplicar cambios para confirmar los cambios. Para obtener más información, vea «Habilitación de características de seguridad para varios repositorios».

Notas:

  • Habilitar la configuración predeterminada de code scanning no invalidará ningún ajuste existente de configuración avanzada para los repositorios seleccionados, pero invalidará los ajustes existentes de la configuración predeterminada.
  • Al habilitar "Alertas" para secret scanning se habilitan alertas de alta confianza. Si desea habilitar alertas que no son de proveedor, debe editar la configuración del repositorio, la organización o la empresa. Para obtener más información sobre los tipos de alerta, consulta "Secretos admitidos".

Visualización de la habilitación de las características de seguridad de código de una empresa

Puedes ver datos para evaluar la habilitación de las características de seguridad de código en todas las organizaciones de una empresa. Los datos que se muestran en la información general de seguridad varían según el acceso que tengas a los repositorios y las organizaciones, y según si esos repositorios y organizaciones usan GitHub Advanced Security. Para obtener más información, vea «Información general sobre seguridad».

En la vista de nivel empresarial, puedes ver datos sobre la habilitación de las características, pero no puedes habilitarlas ni deshabilitarlas. Para obtener más información sobre la habilitación de características, consulta "Habilitación de características de seguridad para varios repositorios".

Sugerencia: Puedes usar el filtro org: en el campo de búsqueda para filtrar los datos por organización. Para obtener más información, vea «Filtrar alertas en la información general sobre seguridad».

  1. Vaya a GitHub.com.

  2. En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises.

  3. En la lista de empresas, da clic en aquella que quieras ver.

  4. En la barra lateral izquierda, haz clic en Seguridad del código.

  5. Para mostrar la vista "Cobertura de seguridad", en la barra lateral, haz clic en Cobertura.

  6. Use las opciones del resumen de la página para filtrar los resultados y mostrar los repositorios que desea evaluar. La lista de repositorios y métricas que se muestran en la página se actualizan automáticamente para que coincidan con la selección actual. Para obtener más información sobre los filtros, consulte "Filtrar alertas en la información general sobre seguridad."

    • Use el menú desplegable Teams para mostrar información solo para los repositorios que pertenecen a uno o varios equipos. Para obtener más información, vea «Administrar el acceso de equipo a un repositorio de la organización».
    • Haga clic en NUMBER habilitado o EN NUMBER no habilitado en el encabezado de cualquier característica para mostrar solo los repositorios con esa característica habilitada o no habilitada.
    • En la parte superior de la lista de repositorios, haga clic en NUMBER Archived para mostrar solo los repositorios archivados.
    • Haga clic en el cuadro de búsqueda para agregar más filtros a los repositorios que se muestran.

    Captura de pantalla de la sección de encabezado de la vista "Cobertura de seguridad" de una empresa. Las opciones de filtrado se describen en naranja oscuro, incluidos los vínculos "habilitado" y "no habilitado", el selector "Teams", los repositorios archivados y el campo de búsqueda.

Interpretación y actuación en los datos de habilitación

Algunas características de seguridad de código pueden y deben habilitarse en todos los repositorios. Por ejemplo, alertas de examen de secretos y la protección de inserción reducen el riesgo de pérdida de seguridad independientemente de la información almacenada en el repositorio. Si ve repositorios que todavía no usan estas características, debe habilitarlos o analizar un plan de habilitación con el equipo propietario del repositorio. Para obtener información sobre cómo habilitar características para toda una organización, consulte "Administrar la configuración de seguridad y análisis de su organización".

Existen otras características que no están disponibles para su uso en todos los repositorios. Por ejemplo, no tendría sentido activar Dependabot para repositorios que solo usan ecosistemas o lenguajes no compatibles. Por lo tanto, es normal tener algunos repositorios en los que estas características no están habilitadas.

Es posible que la empresa también haya configurado directivas para limitar el uso de algunas características de seguridad de código. Para obtener más información, vea «Aplicación de directivas de seguridad y análisis de código de la empresa».