Introducción
Como propietario o administrador de seguridad de la organización, puedes usar las características de seguridad de GitHub para proteger el código, las dependencias y los secretos de la organización. Para obtener más información, vea «Características de seguridad de GitHub».
Las necesidades de seguridad de una organización son únicas. Quizás quieras habilitar una característica si tu organización se ha visto afectada por una vulnerabilidad que habría impedido una determinada característica, o si la característica va a ayudar a la organización a satisfacer un requisito de cumplimiento.
Puedes habilitar características de seguridad en varios repositorios de una organización al mismo tiempo. Para cada característica que quieras habilitar, debes decidir cómo implementarla en los repositorios de la organización. Diferentes características tienen efectos diferentes en su organización y sus colaboradores, por lo que es importante evaluar el impacto que tendrá cada una. Por ejemplo:
- Algunas características pueden generar notificaciones para informar a los miembros de la organización sobre vulnerabilidades específicas: para asegurarte de que estas notificaciones son específicas y pertinentes, es posible que quieras pedir a los miembros que comprueben su configuración de notificaciones antes de habilitar una característica. Para obtener más información, vea «Configuración de notificaciones».
- Algunas características pueden consumir recursos en cada repositorio en el que están habilitadas. Por ejemplo, habilitar code scanning en un repositorio privado puede consumir una licencia de GitHub Advanced Security, y ejecutar análisis de code scanning en un repositorio incurrirá en el uso de GitHub Actions u otro sistema de CI.
Como propietario de la organización, puedes conceder a determinados usuarios permiso para habilitar o deshabilitar las características de seguridad mediante la asignación del rol "administrador de seguridad" a un equipo. Los administradores de seguridad pueden configurar la seguridad y supervisar el uso de características de seguridad en toda la organización. Para obtener más información, vea «Gestionar a los administradores de seguridad en tu organización».
Acerca de los requisitos previos de las características
Algunas características de seguridad tienen requisitos previos. Por ejemplo, Dependabot alerts usan información del gráfico de dependencias, por lo que habilitar Dependabot alerts habilita automáticamente dicho gráfico.
Algunas funciones solo están disponibles para las empresas que utilizan GitHub Advanced Security y han activado Advanced Security como función para los repositorios. Para obtener más información, vea «Acerca de GitHub Advanced Security».
Note
Las empresas pueden establecer una directiva para administrar qué organizaciones pueden habilitar GitHub Advanced Security. Para obtener más información, vea «Aplicación de directivas de seguridad y análisis de código de la empresa».
Hay algunas características que debes configurar para cada repositorio. Por ejemplo, para habilitar Dependabot version updates en un repositorio, debes agregar un archivo dependabot.yml
que especifique dónde encontrar información sobre las dependencias del proyecto. Para obtener más información, vea «Configuración de las actualizaciones de versiones de Dependabot».
Habilitación de características de seguridad en la organización
Cuando hayas decidido habilitar una característica de seguridad, el siguiente paso es decidir cómo implementarla en la organización.
- Si quieres implementar una característica lo antes posible, puedes habilitarla a la vez para todos los repositorios que la admitan. Para más información, consulta "Habilitación de una característica en todos los repositorios".
- Si quieres controlar la rapidez con la que implementas una característica y qué características están habilitadas en qué repositorios, puedes habilitar una característica para una selección de repositorios. Para más información, consulta "Habilitación de una característica para una selección de repositorios".
Cuando hayas decidido cómo habilitar una característica para los repositorios existentes de la organización, también debes decidir cómo controlar los nuevos repositorios creados en tu organización en el futuro. Para más información, consulta "Habilitación de una característica para nuevos repositorios".
Para más información sobre cómo crear una estrategia para implementar características de seguridad en una organización o empresa de gran tamaño, consulte "Introducción a la adopción de la Seguridad Avanzada de GitHub a escala."
Habilitación de una característica para todos los repositorios
La forma más rápida de implementar una característica de seguridad es habilitarla para todos los repositorios de la organización a la vez. Si has identificado la necesidad crítica de una característica, habilitarla para todos los repositorios te ofrece protección en toda la organización, sin necesidad de parar para diseñar un plan de implementación.
Antes de habilitar una característica en todos los repositorios, debes tener en cuenta el impacto que tendrá esta acción. Si no estás seguro de los efectos que tendrá una característica, es más seguro empezar habilitando la característica en una selección limitada de estos. Es probable que habilitar una característica en todos los repositorios a la vez sea una opción adecuada en las situaciones siguientes.
- Tiene información general de todos los repositorios de la organización y estás seguro de que todos se beneficiarán de una determinada característica.
- Si una función requiere recursos como GitHub Advanced Security licencias o GitHub Actions minutos, has evaluado los recursos que serán necesarios y estás de acuerdo en proceder.
- Si la característica genera notificaciones o solicitudes de incorporación de cambios, puedes estar seguro de que serán específicas y pertinentes para los miembros que las reciben o tienen que revisarlas.
Cuando estés listo para continuar, sigue estos pasos para habilitar una característica en todos los repositorios.
-
En GitHub, navega a la página principal de tu organización.
-
En el nombre de la organización, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.
-
En la barra lateral izquierda, haz clic en Seguridad y análisis del código.
-
Busque la característica que desea habilitar y use las casillas asociadas para ajustar las opciones.
-
Cuando estés listo para habilitar una característica en todos los repositorios de la organización donde se admita, junto al nombre de la característica, haz clic en Habilitar todo.
Al hacer clic en Habilitar todo, se te pedirá que confirmes tu elección. También se te informará de si la característica depende de otra característica o requiere GitHub Advanced Security. Para obtener más información, vea «Administrar la configuración de seguridad y análisis de su organización».
Habilitación de una característica en una selección de repositorios
En algunos casos, es mejor identificar una selección de repositorios que requieren una característica y, luego, habilitar la característica solo en ellos.
Si no estás seguro del impacto que tendrá una característica, es posible que quieras probarla en una selección limitada de repositorios antes de confirmar la habilitación de la característica en todos ellos; o puede que quieras implementar la característica de forma gradual en varias fases. Puede que también seas consciente de que algunos repositorios de tu organización requieren un conjunto de características distinto al de otros.
Puedes usar la vista "Cobertura de seguridad" para identificar los repositorios que requieren una determinada característica y, luego, habilitar la característica en ellos. En los pasos siguientes se describe cómo encontrar la vista "Cobertura de seguridad".
-
En GitHub, navega a la página principal de tu organización.
-
En el nombre de la organización, haga clic en Seguridad .
-
En la barra lateral, haz clic en Cobertura de .
En esta vista, puedes usar casillas para seleccionar repositorios específicos o puedes usar la barra de búsqueda para encontrar los repositorios en los que quieres habilitar una característica. Por ejemplo, puedes usar filtros para identificar los repositorios en los que un determinado equipo tiene acceso de escritura o administrador, o bien excluir repositorios que no requieran el mismo nivel de protección, como repositorios de prueba o repositorios para documentación interna. A continuación, puedes habilitar a la vez características para todos los repositorios seleccionados. Para obtener más información, vea «Habilitación de características de seguridad para varios repositorios».
Si tiene un número limitado de licencias de GitHub Advanced Security, es posible que quiera dar prioridad a los repositorios que contienen proyectos críticos o que tengan las frecuencias de confirmación más altas. Consulte "Acerca de la facturación de GitHub Advanced Security".
Note
- Habilitar la configuración predeterminada de code scanning no invalidará ningún ajuste existente de configuración avanzada para los repositorios seleccionados, pero invalidará los ajustes existentes de la configuración predeterminada.
- Al habilitar "Alertas" para secret scanning se habilitan las alertas de confianza alta. Si desea habilitar alertas que no son de proveedor, debe editar la configuración del repositorio, la organización o la empresa. Para obtener más información sobre los tipos de alerta, consulta "Secretos admitidos".
Habilitación de una característica en nuevos repositorios
Puedes optar por habilitar automáticamente una característica de seguridad en todos los repositorios nuevos que se crean en tu organización. La habilitación de características en nuevos repositorios garantiza que están protegidos inmediatamente y que las vulnerabilidades de los repositorios se identifican lo antes posible. Sin embargo, para usar las características de seguridad de la forma más eficaz posible, es posible que prefieras revisar cada nuevo repositorio de forma individual.
-
En GitHub, navega a la página principal de tu organización.
-
En el nombre de la organización, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.
-
En la barra lateral izquierda, haz clic en Seguridad y análisis del código.
-
Debajo del nombre de la característica, selecciona la opción para habilitar automáticamente la característica en repositorios futuros aplicables.
Supervisión del impacto de las características de seguridad
Cuando hayas habilitado una característica, debes comunicarte con los administradores y colaboradores del repositorio de tu organización para evaluar el impacto. Puede que tengas que ajustar la configuración de algunas características a nivel de repositorio o volver a evaluar la distribución de las características de seguridad en toda la organización. También debes supervisar las alertas de seguridad que genera una característica y las respuestas de los miembros a estas alertas.
Puede usar Información general sobre seguridad para ver qué equipos y repositorios se ven afectados por las alertas de seguridad, con un desglose de las alertas por gravedad. Para obtener más información, vea «Evaluación del riesgo de seguridad del código».
La Información general sobre seguridad también cuenta con un panel de control en el que puedes explorar tendencias y métricas de alto nivel para conocer mejor el panorama de la seguridad de la organización. Para obtener más información, vea «Visualización de información de seguridad».
Puedes usar varias herramientas para supervisar las acciones que realizan los miembros de la organización en respuesta a las alertas de seguridad. Para más información, consulta "Auditoría de alertas de seguridad".
Pasos siguientes
Para ayudar a los usuarios a notificar vulnerabilidades de seguridad, puedes crear una directiva de seguridad predeterminada que se mostrará en cualquiera de los repositorios públicos de la organización que no tengan la suya propia. Para obtener más información, vea «Creación de un archivo predeterminado de mantenimiento de la comunidad».
Una vez implementada la configuración de seguridad de la organización, podrías impedir que los usuarios cambien la configuración de seguridad en un repositorio. Un propietario de empresa puede impedir que los administradores del repositorio habiliten o deshabiliten características en un repositorio. Para obtener más información, vea «Aplicación de directivas de seguridad y análisis de código de la empresa».
Si usa GitHub Actions, puede usar las características de seguridad de GitHub que puede usar para aumentar la seguridad de los flujos de trabajo. Para obtener más información, vea «Uso de las características de seguridad de GitHub para proteger el uso de Acciones de GitHub».