Skip to main content
Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Administrar los parámetros de seguridad y análisis para tu organización

Puedes controlar las características que aseguran y analizan el código en los proyectos de tu organización en GitHub.

Organization owners can manage security and analysis settings for repositories in the organization.

Acerca de la administración de los parámetros de seguridad y análisis

GitHub puede ayudarte a asegurar los repositorios en tu organización. Puedes administrar las características de seguridad y de análisis para todos los repositorios existentes que los miembros creen en tu organización. Si tienes una licencia para GitHub Advanced Security, entonces también podrás administrar el acceso a estas características. Para obtener más información, consulta la sección "Acerca de GitHub Advanced Security".

Nota: No puedes inhabilitar algunas características de seguridad y análisis que están habilitadas predeterminadamente para los repositorios públicos.

Si habilitas las características de seguridad y de análisis, GitHub realizará análisis de solo lectura en tu repositorio. Para obtener más información, consulta la sección "Acerca de cómo GitHub utiliza tus datos".

Mostrar la configuración de seguridad y de análisis

  1. En la esquina superior derecha de GitHub.com, haz clic en tu foto de perfil y luego en Tus organizaciones. Tus organizaciones en el menú de perfil

  2. Junto a la organización, haz clic en Configuración. El botón de configuración

  3. En la sección de "Seguridad" de la barra lateral, haz clic en Análisis y seguridad de código.

La página que se muestra te permite habilitar o inhabilitar todas las características de seguridad y de análisis para los repositorios de tu organización.

Si tu organización pertenece a una empresa que tiene una licencia para GitHub Advanced Security, la págna también contendrá opciones para habilitar e inhabilitar las características de Advanced Security. Cualquier repositorio que utilice GitHub Advanced Security se listará en la parte inferior de la página.

Habilitar o inhabilitar una característica para todos los repositorios existentes

Puedes habilitar o inhabilitar las características para todos los repositorios. El impacto de tus cambios en los repositorios de tu organización se determina de acuerdo con su visibilidad:

  • Gráfica de dependencias - Tus cambios solo afectan a repositorios privados porque la característica siempre está habilitada para los repositorios públicos.
  • Las alertas del dependabot - Tus cambios afectan a todos los repositorios.
  • Actualizaciones de seguridad del dependabot - Tus cambios afectan a todos los repositorios.
  • GitHub Advanced Security - Tus cambios afectan únicamente a los repositorios privados, ya que la GitHub Advanced Security y las características relacionadas siempre se encuentran habilitadas para los repositorios públicos.
  • Escaneo de secretos - Tus cambios afectan a los repositorios en donde también está habilitada la GitHub Advanced Security. Esta opción controla si el >- escaneo de secretos para la seguridad avanzada está habilitado o no. El Escaneo de secretos para patrones asociados siempre se ejecuta en todos los repositorios públicos.
**Nota:** Si habilitas

GitHub Advanced Security, los confirmantes de estos repositorios utilizarán las plazas en tu licencia de GitHub Advanced Security. Esta opción se inhabilita si excediste la capacidad de tu licencia. Para obtener más información, consulta la sección "Acerca de la facturación para la GitHub Advanced Security".

  1. Ve a la configuración de análisis y seguridad para tu organización. Para obtener más información, consulta la sección "Mostrar la configuración de análisis y seguridad".

  2. Debajo de "Análisis y seguridad de código", a la derecha de la característica, haz clic en Inhabilitar todo o en Habilitar todo. El control para "GitHub Advanced Security" se encontrará inhabilitado si no tienes plazas disponibles en tu licencia de GitHub Advanced Security.

    Botón de "Habilitar todo" o "Inhabilitar todo" para las características de "Configurar la seguridad y el análisis"

  1. Opcionalmente, habilita la característica predeterminada para los repositorios nuevos en tu organización.

    Opción de "Habilitar predeterminadamente" para los repositorios nuevos

  1. Da clic en Inhabilitar CARACTERÍSTICA o en Habilitar CARACTERÍSTICA para inhabilitar o habilitar la característica para todos los repositorios en tu organización.

    Botón para inhabilitar o habilitar la característica

Cuando habilitas una o más características de seguridad y análisis para los repositorios existentes, verás cualquier resultado que se muestra en GitHub al cabo de unos pocos minutos:

  • Todos los repositorios existentes tendrán la configuración seleccionada.
  • Los repositorios nuevos seguirán la configuración seleccionada si habilitaste la casilla de verificación para estos.
  • Utilizamos los permisos para escanear en busca de archivos de manifiesto para aplicar los servicios relevantes.
  • Si se habilita, verás la información de dependencias en la gráfica de dependencias.
  • If enabled, GitHub will generate Las alertas del dependabot for vulnerable dependencies or malware.
  • Si se habilita, las actualizaciones de seguridad del Dependabot crearán solicitudes de cambios para actualizar las dependencias vulnerables cuando se activen las Las alertas del dependabot.

Habilitar o inhabilitar una característica automáticamente cuando se agregan repositorios nuevos

  1. Ve a la configuración de análisis y seguridad para tu organización. Para obtener más información, consulta la sección "Mostrar la configuración de análisis y seguridad".

  2. Debajo de "Análisis y seguridad de código", a la derecha de la característica, habilítala o inhabilítala para que sea predeterminada en los repositorios nuevos o en todos los repositorios nuevos privados, de tu organización.

    Captura de pantalla de una casilla de verificación para habilitar una característica para los repositorios nuevos

Permitir que el Dependabot acceda a las dependencias privadas

El Dependabot puede verificar si hay referencias obsoletas de las dependencias en un proyecto y generar automáticamente una solicitud de cambios para actualizarlas. Para hacerlo, el Dependabot debe tener acceso a todos los archivos de dependencia que sean el objetivo. Habitualmente, las actualizaciones de versión fallarán si una o más dependencias son inaccesibles. Para obtener más información, consulta la sección "Acerca de las actualizaciones de versión del Dependabot".

Predeterminadamente, el Dependabot no puede actualizar las dependencias que se ubican en los repositorios o en los registros de paquetes privados. Sin embargo, si una dependencia se encuentra en un repositorio privado de GitHub dentro de la misma organización que el proyecto que la utiliza, puedes permitir al Dependabot actualizar la versión exitosamente si le otorgas acceso al repositorio en el que se hospeda.

Si tu código depende de paquetes en un registro privado, puedes permitir que el Dependabot actualice las versiones de estas dependencias si configuras esto a nivel del repositorio. Puedes hacer esto si agregas los detalles de autenticación al archivo dependabot.yml para el repositorio. Para obtener más información, consulta la sección "Opciones de configuración para el archivo dependabot.yml".

Para permitir que el Dependabot acceda a un repositorio privado de GitHub:

  1. Ve a la configuración de análisis y seguridad para tu organización. Para obtener más información, consulta la sección "Mostrar la configuración de análisis y seguridad".

  2. Debajo de "Acceso del Dependabot a repositorios privados", haz clic en Agregar repositorios privados o Agregar repositorios internos y privados. Botón para agregar repositorios

  3. Comienza a teclear el nombre del repositorio que quieras permitir. El campo de búsqueda del repositorio con el menú desplegable filtrado

  4. Haz clic en el repositorio que quieras permitir.

  5. Opcionalmente, para eliminar un repositorio de la lista, a la derecha de este, haz clic en . Botón "X" para eliminar un repositorio

Eliminar el acceso a GitHub Advanced Security desde los repositorios individuales de una organización

Puedes administrar el acceso a las características de la GitHub Advanced Security para un repositorio desde su pestaña de "Configuración". Para obtener más información, consulta la sección "Administrar la configuración de seguridad y análisis para tu repositorio". Sin embargo, también puedes inhabilitar las características de la GitHub Advanced Security para un reositorio desde la pestaña de "Configuración" de la organización.

  1. Ve a la configuración de análisis y seguridad para tu organización. Para obtener más información, consulta la sección "Mostrar la configuración de análisis y seguridad".
  2. Para encontrar una lista de todos los repositorios de tu organización que tengan habilitada la GitHub Advanced Security, desplázate hasta la sección "repositorios con GitHub Advanced Security". GitHub Advanced Security repositories section La tabla lista la cantidad de confirmantes únicos para cada repositorio. Esta es la cantidad de plazas que puedes liberar en tus licencias si eliminas el acceso a GitHub Advanced Security. Para obtener más información, consulta la sección "Acerca de la facturación para el GitHub Advanced Security".
  3. Para eliminar el acceso a la GitHub Advanced Security desde un repositorio y liberar plazas que utilice cualquier confirmante y que son únicas en ese repositorio, haz clic en el adyacente.
  4. En el diálogo de confirmación, da clic en Eliminar repositorio para eliminar el acceso a las características de la GitHub Advanced Security.

Nota: Si eliminas el acceso de un repositorio a la GitHub Advanced Security, deberás comunicarte con el equipo de desarrollo afectado para que sepan que este cambio se hizo apropósito. Esto garantiza que no pierdan tiempo en depurar las ejecuciones fallidas del escaneo de código.

Leer más