Skip to main content

Evaluación del riesgo de seguridad del código

Puede usar información general sobre seguridad para ver qué equipos y repositorios se ven afectados por las alertas de seguridad e identificar repositorios para una acción correctiva urgente.

¿Quién puede utilizar esta característica?

La información general de seguridad de una organización está disponible para todos los miembros de la organización. Las vistas y los datos que se muestran están determinados por su rol en la organización y por sus permisos para repositorios individuales dentro de la organización. Para más información, consulta "Información general sobre seguridad".

La información general sobre la seguridad de una empresa muestra a los propietarios de la organización y a los administradores de seguridad los datos de las organizaciones a las que tienen acceso. Los propietarios de empresas solo pueden ver datos para las organizaciones en las que se agregan como propietarios de la organización o administradores de seguridad. Para más información, consulta "Administración del rol en una organización que pertenece a la empresa".

All enterprises and their organizations have a security overview. If you use GitHub Advanced Security features, which are free for public repositories, you will see additional information. For more information, see "About GitHub Advanced Security."

Acerca de los riesgos de seguridad en el código

Puede usar información general de seguridad para ver qué repositorios y equipos están libres de las alertas de seguridad y cuáles tienen alertas de seguridad sin resolver. En la página "Riesgo de seguridad" se muestra un resumen e información detallada sobre los repositorios de una organización o empresa que se ven afectados por las alertas de seguridad, con un desglose de la alerta por gravedad. Puede filtrar la vista para mostrar un subconjunto de repositorios mediante los vínculos "afectado" y "no afectado", los vínculos de "Abrir alertas", el menú desplegable "Teams" y un campo de búsqueda en el encabezado de página. Esta vista es una excelente manera de comprender la imagen más general de un repositorio, un equipo o un grupo de repositorios, ya que puede ver alertas de seguridad de todos los tipos en una vista.

Captura de pantalla de la sección del encabezado de la vista "Riesgo de seguridad" en la pestaña "Seguridad" de una organización. Las opciones de filtrado se describen en naranja oscuro, incluidos los vínculos "afectado" y "no afectado", el selector "Teams" y el campo de búsqueda.

Puede descargar un archivo CSV de los datos que se muestran en la página “Riesgo de seguridad”. Este archivo de datos se puede usar para trabajos de investigación de seguridad y el análisis detallado de datos y se puede integrar fácilmente con conjuntos de datos externos. Para obtener más información, vea «Exportación de datos desde las páginas de riesgo y cobertura».

Nota: Es importante comprender que todos los repositorios sin alertas abiertas se incluyen en el conjunto de repositorios no afectados. Es decir, los repositorios no afectados incluyen los repositorios en los que la característica no está habilitada, además de los repositorios que se han examinado y las alertas identificadas que se han cerrado.

Visualización de los riesgos de seguridad de código de nivel de organización

Los datos que se muestran en la información general de seguridad varían según el acceso que tengas a los repositorios y las organizaciones, y según si esos repositorios y organizaciones usan GitHub Advanced Security. Para obtener más información, vea «Información general sobre seguridad».

  1. En GitHub.com, ve a la página principal de la organización.

  2. En el nombre de la organización, haga clic en Seguridad .

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. Para mostrar la vista "Riesgo de seguridad", en la barra lateral, haga clic en Riesgo .

  4. Use las opciones del resumen de la página para filtrar los resultados y mostrar los repositorios que desea evaluar. La lista de repositorios y métricas que se muestran en la página se actualizan automáticamente para que coincidan con la selección actual. Para obtener más información sobre los filtros, consulte "Filtrar alertas en la información general sobre seguridad."

    • Use el menú desplegable Teams para mostrar información solo para los repositorios que pertenecen a uno o varios equipos.
    • Haga clic en NUMBER afectado o NUMBER no afectado en el encabezado de cualquier característica para mostrar solo los repositorios con o sin alertas abiertas de ese tipo.
    • Haga clic en cualquiera de las descripciones de "Abrir alertas" en el encabezado para mostrar solo repositorios con alertas de ese tipo y categoría. Por ejemplo, 1 crítica para mostrar el repositorio con una alerta crítica para Dependabot.
    • En la parte superior de la lista de repositorios, haga clic en NUMBER archivado para mostrar solo los repositorios archivados.
    • Haga clic en el cuadro de búsqueda para agregar más filtros a los repositorios que se muestran.

    Captura de pantalla de la sección del encabezado de la vista "Riesgo de seguridad" en la pestaña "Seguridad" de una organización. Las opciones de filtrado se describen en naranja oscuro, incluidos los vínculos "afectado" y "no afectado", los vínculos de gravedad de alerta, el selector "Teams", los repositorios archivados y el campo de búsqueda.

  5. Opcionalmente, use la barra lateral de la izquierda para explorar las alertas de una característica de seguridad específica con mayor detalle. En cada página, puede utilizar filtros que sean específicos para dicha característica para refinar la búsqueda. Para más información sobre los calificadores disponibles, consulta "Filtrar alertas en la información general sobre seguridad".

Nota: Las vistas de resumen ("Información general", "Cobertura" y "Riesgo") solo muestran datos para alertas de confianza alta. Las alertas Code scanning de las herramientas de terceros y las alertas secret scanning para los directorios omitidos y las alertas que no son de proveedor se omiten de estas vistas. Por lo tanto, las vistas de alerta individuales pueden incluir un mayor número de alertas abiertas y cerradas.

Visualización de los riesgos de seguridad de código de nivel empresarial

Puedes ver los datos de las alertas de seguridad en todas las organizaciones de una empresa. Los datos que se muestran en la información general de seguridad varían según el acceso que tengas a los repositorios y las organizaciones, y según si esos repositorios y organizaciones usan GitHub Advanced Security. Para obtener más información, vea «Información general sobre seguridad».

Sugerencia: Puedes usar el filtro org: en el campo de búsqueda para filtrar los datos por organización. Para obtener más información, vea «Filtrar alertas en la información general sobre seguridad».

  1. Vaya a GitHub.com.

  2. En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises.

  3. En la lista de empresas, da clic en aquella que quieras ver.

  4. En la barra lateral izquierda, haz clic en Seguridad del código.

  5. Para mostrar la vista "Cobertura de seguridad", en la barra lateral, haz clic en Riesgo.

  6. Use las opciones del resumen de la página para filtrar los resultados y mostrar los repositorios que desea evaluar. La lista de repositorios y métricas que se muestran en la página se actualizan automáticamente para que coincidan con la selección actual. Para obtener más información sobre los filtros, consulte "Filtrar alertas en la información general sobre seguridad."

    • Use el menú desplegable Teams para mostrar información solo para los repositorios que pertenecen a uno o varios equipos.
    • Haga clic en NUMBER afectado o NUMBER no afectado en el encabezado de cualquier característica para mostrar solo los repositorios con o sin alertas abiertas de ese tipo.
    • Haga clic en cualquiera de las descripciones de "Abrir alertas" en el encabezado para mostrar solo repositorios con alertas de ese tipo y categoría. Por ejemplo, 1 crítica para mostrar el repositorio con una alerta crítica para Dependabot.
    • En la parte superior de la lista de repositorios, haga clic en NUMBER archivado para mostrar solo los repositorios archivados.
    • Haga clic en el cuadro de búsqueda para agregar más filtros a los repositorios que se muestran.

    Captura de pantalla de la vista "Riesgo de seguridad" de una empresa. Las opciones de filtrado aparecen destacadas con un contorno naranja oscuro, incluidos los vínculos "afectados"/"no afectados", los vínculos de gravedad de la alerta, el selector de equipos, los repositorios archivados y el campo de búsqueda.

Nota: Las vistas de resumen ("Información general", "Cobertura" y "Riesgo") solo muestran datos para alertas de confianza alta. Las alertas Code scanning de las herramientas de terceros y las alertas secret scanning para los directorios omitidos y las alertas que no son de proveedor se omiten de estas vistas. Por lo tanto, las vistas de alerta individuales pueden incluir un mayor número de alertas abiertas y cerradas.