Skip to main content
Publicamos actualizaciones para la documentación con frecuencia y es posible que aún se esté traduciendo esta página. Para obtener la información más reciente, consulta la documentación en inglés.

Administrar la configuración de seguridad y análisis de su organización

Puedes controlar las características que aseguran y analizan el código en los proyectos de tu organización en GitHub.

Quién puede usar esta característica

Organization owners can manage security and analysis settings for repositories in the organization.

Acerca de la administración de los parámetros de seguridad y análisis

GitHub puede ayudarle a asegurar los repositorios en su organización. Puedes administrar las características de seguridad y de análisis para todos los repositorios existentes que los miembros creen en tu organización. Si tiene una licencia para GitHub Advanced Security, también puede administrar el acceso a estas características. Para obtener más información, vea «Acerca de GitHub Advanced Security».

Nota: No puede deshabilitar algunas características de seguridad y análisis que están habilitadas de manera predeterminada para los repositorios públicos.

Si habilita las características de seguridad y análisis, GitHub realiza un análisis de solo lectura en el repositorio. Para obtener más información, vea «[AUTOTITLE](/get-started/privacy-on-github/about-githubs-use-of-your-data)».

Mostrar la configuración de seguridad y de análisis

  1. En la esquina superior derecha de GitHub.com, haga clic en la foto de perfil y luego en Your organizations.

    Captura de pantalla del menú desplegable en la imagen de perfil de @octocat. "Sus organizaciones" se destaca en naranja oscuro. 2. Junto a la organización, haga clic en Settings.

  2. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

La página que se muestra te permite habilitar o inhabilitar todas las características de seguridad y de análisis para los repositorios de tu organización.

Si la organización pertenece a una empresa que tiene una licencia para GitHub Advanced Security, la página también contendrá opciones para habilitar y deshabilitar las características de Advanced Security. Cualquier repositorio que utilice GitHub Advanced Security se listará en la parte inferior de la página.

Habilitación o deshabilitación de una característica para todos los repositorios existentes

Puedes habilitar o inhabilitar las características para todos los repositorios. El impacto de los cambios en los repositorios de la organización se determina en función de su visibilidad:

  • Informes de vulnerabilidades privados: los cambios solo afectan a los repositorios públicos.
  • Gráfico de dependencias: los cambios solo afectan a repositorios privados porque la característica siempre está habilitada para los repositorios públicos.
  • Dependabot alerts : los cambios afectan a todos los repositorios.
  • Dependabot security updates : los cambios afectan a todos los repositorios.
  • GitHub Advanced Security : los cambios solo afectan a los repositorios privados, ya que GitHub Advanced Security y las características relacionadas siempre están habilitadas para los repositorios públicos.
  • Secret scanning : los cambios afectan a repositorios públicos y repositorios privados o internos donde GitHub Advanced Security está habilitado. Esta opción controla si las variables de datos alertas de examen de secretos para usuarios están habilitadas. Las Alertas de examen de secretos para asociados siempre se ejecutan en todos los repositorios públicos.
  • Code scanning : los cambios afectan a repositorios públicos y repositorios privados o internos en los que GitHub Advanced Security está habilitado Para obtener más información sobre los repositorios aptos, consulte Configuración del análisis de código a escala mediante CodeQL. En el caso de los repositorios que no son aptos para la configuración predeterminada, puede establecer la configuración avanzada en el nivel de repositorio. Para obtener más información, vea «Configuración del análisis de código para un repositorio».

Nota: Si habilitas GitHub Advanced Security, los usuarios activos que realicen confirmaciones en estos repositorios usarán licencias de GitHub Advanced Security. Esta opción se desactiva si excediste la capacidad de tu licencia. Para más información, consulta "Acerca de la facturación de GitHub Advanced Security".

Nota: Si se produce un error con el mensaje indica "GitHub Advanced Security no se puede habilitar debido a una configuración de directiva para la organización", ponte en contacto con el administrador de la empresa y pídele que cambie la directiva de GitHub Advanced Security para la empresa. Para obtener más información, vea «Aplicación de directivas de seguridad y análisis de código de la empresa».

Nota: Cuando Dependabot alerts se habilita o deshabilita en el nivel de empresa, se invalida la configuración de nivel de organización para Dependabot alerts. Para obtener más información, vea «Configuración de alertas de Dependabot».

  1. Vaya a la configuración de seguridad y análisis de código de su organización. Para más información, vea "Representación de la configuración de seguridad y análisis".
  2. En "Seguridad y análisis de código", a la derecha de la característica, haga clic en Deshabilitar todo o Habilitar todo para mostrar un cuadro de diálogo de confirmación. El control de "GitHub Advanced Security" está deshabilitado si no tiene licencias para GitHub Advanced Security.
  3. Revise la información del cuadro de diálogo. Si va a habilitar una característica, opcionalmente seleccione Habilitar de forma predeterminada para los nuevos repositorios privados .
  4. Cuando tenga todo listo para realizar los camboios, haga clic en Deshabilitar CARACTERÍSTICA o Habilitar CARACTERÍSTICA a fin de deshabilitar o habilitar la característica para todos los repositorios de la organización.

Nota: La capacidad de habilitar y deshabilitar la configuración predeterminada para code scanning para repositorios aptos en una organización está actualmente en versión beta y está sujeta a cambios. Durante la versión beta, si deshabilita los datos CodeQL code scanning para todos los repositorios, este cambio no se reflejará en la información de cobertura que se muestra en la información de seguridad de la organización. Los repositorios seguirán teniendo code scanning habilitado en esta vista.

Cuando habilitas una o más características de seguridad y análisis para los repositorios existentes, verás cualquier resultado que se muestra en GitHub al cabo de unos pocos minutos:

  • Todos los repositorios existentes tendrán la configuración seleccionada.
  • Los repositorios nuevos seguirán la configuración seleccionada si ha habilitado la casilla para los repositorios nuevos.
  • Utilizamos los permisos para escanear en busca de archivos de manifiesto para aplicar los servicios relevantes.
  • Si se habilita, verás la información de dependencias en la gráfica de dependencias.
  • Si se habilitan, GitHub generará Dependabot alerts para las dependencias vulnerables o malware.
  • Si se habilita, las actualizaciones de seguridad del Dependabot crearán solicitudes de cambios para actualizar las dependencias vulnerables cuando se activen las Dependabot alerts.

Habilitar o inhabilitar una característica automáticamente cuando se agregan repositorios nuevos

  1. Vaya a la configuración de seguridad y análisis de su organización. Para más información, vea "Representación de la configuración de seguridad y análisis".
  2. En "Seguridad y análisis de código", busque la característica y habilite o deshabilite la característica de forma predeterminada para los repositorios nuevos, o todos los repositorios privados nuevos, en la organización.  Captura de pantalla de la sección "Gráfico de dependencias" de la página de configuración "Seguridad y análisis de código". La casilla para habilitar la característica para los nuevos repositorios tiene un contorno naranja oscuro.

Permitir que el Dependabot acceda a las dependencias privadas

El Dependabot puede verificar si hay referencias obsoletas de las dependencias en un proyecto y generar automáticamente una solicitud de cambios para actualizarlas. Para hacerlo, el Dependabot debe tener acceso a todos los archivos de dependencia que sean el objetivo. Habitualmente, las actualizaciones de versión fallarán si una o más dependencias son inaccesibles. Para obtener más información, vea «Acerca de las actualizaciones a la versión del Dependabot».

Predeterminadamente, el Dependabot no puede actualizar las dependencias que se ubican en los repositorios o en los registros de paquetes privados. Sin embargo, si una dependencia se encuentra en un repositorio privado de GitHub dentro de la misma organización que el proyecto que la utiliza, puedes permitir al Dependabot actualizar la versión exitosamente si le otorgas acceso al repositorio en el que se hospeda.

Si tu código depende de paquetes en un registro privado, puedes permitir que el Dependabot actualice las versiones de estas dependencias si configuras esto a nivel del repositorio. Para ello, agregue los detalles de autenticación al archivo dependabot.yml del repositorio. Para obtener más información, vea «Opciones de configuración para el archivo dependabot.yml».

Para permitir que el Dependabot acceda a un repositorio privado de GitHub:

  1. Vaya a la configuración de seguridad y análisis de su organización. Para más información, vea "Representación de la configuración de seguridad y análisis".
  2. En "Conceder a Dependabot acceso a repositorios privados", haga clic en Agregar repositorios privados o Agregar repositorios internos y privados para mostrar un campo de búsqueda de repositorio. Captura de pantalla de la sección "Conceder a Dependabot acceso a repositorios privados". El botón "Agregar repositorios" tiene un contorno naranja oscuro.
  3. Empiece a escribir el nombre del repositorio al que desea conceder acceso a Dependabot.
  4. Se muestra una lista de repositorios coincidentes de la organización, haga clic en el repositorio al que desea permitir el acceso y se agregará a la lista de permitidos.
  5. Opcionalmente, para eliminar un repositorio de la lista, a la derecha de este, haga clic en . Captura de pantalla de la lista de repositorios a los que Dependabot tiene acceso. El botón "Quitar NOMBRE-REPOSITORIO", que se muestra con un icono x, tiene un contorno naranja oscuro.

Eliminar el acceso a GitHub Advanced Security desde los repositorios individuales de una organización

Puedes administrar el acceso a las características de GitHub Advanced Security para un repositorio desde la pestaña de "Configuración". Para obtener más información, consulta "Administración de la configuración de seguridad y análisis para el repositorio". Sin embargo, también puedes inhabilitar las características de la GitHub Advanced Security para un reositorio desde la pestaña de "Configuración" de la organización.

  1. Vaya a la configuración de seguridad y análisis de su organización. Para más información, vea "Representación de la configuración de seguridad y análisis".
  2. Para encontrar una lista de todos los repositorios de tu organización que tengan habilitada la GitHub Advanced Security, desplázate hasta la sección "repositorios con GitHub Advanced Security". Sección de repositorios de GitHub Advanced Security En la tabla se muestra el número de responsables de confirmación únicos para cada repositorio. Este es el número de licencias que podrías liberar si quitas el acceso a GitHub Advanced Security. Para obtener más información, vea «Acerca de la facturación de GitHub Advanced Security».
  3. Para eliminar el acceso a GitHub Advanced Security desde un repositorio y liberar licencias que use cualquier confirmador activo y que solo correspondan a ese repositorio, haz clic en el icono adyacente.
  4. En el cuadro de diálogo de confirmación, haga clic en Quitar repositorio para quitar el acceso a las características de GitHub Advanced Security.

Nota: Si quita el acceso a GitHub Advanced Security de un repositorio, tendrá que comunicárselo al equipo de desarrollo afectado para que sepan que este cambio se ha realizado de forma explícita. Esto garantiza que no pierdan tiempo en depurar las ejecuciones fallidas del escaneo de código.

Información adicional