Skip to main content
Publicamos actualizaciones para la documentación con frecuencia y es posible que aún se esté traduciendo esta página. Para obtener la información más reciente, consulta la documentación en inglés.

Asegurar tu repositorio

Puedes utilizar varias características de GitHub para ayudar a mantener tu repositorio seguro.

Quién puede usar esta característica

Repository administrators and organization owners can configure repository security settings.

Introducción

Esta guía te muestra cómo configurar las características de seguridad para un repositorio. Debes ser un administrador de repositorio o propietario de organización para configurar las caracteristicas de seguridad de un repositorio.

Tus necesidades de seguridad son únicas de tu repositorio, así que puede que no necesites habilitar todas las características de seguridad para este. Para obtener más información, consulte "Características de seguridad de GitHub".

Algunas características están disponibles para todos los repositorios. Las características adicionales se encuentran disponibles para las empresas que utilizan la GitHub Advanced Security. Para más información, consulte "Acerca de GitHub Advanced Security".

Administrar el acceso a tu repositorio

El primer paso para asegurar un repositorio es establecer quién puede ver y modificar tu código. Para obtener más información, consulte "Administración de la configuración de un repositorio".

Desde la página principal del repositorio, haz clic en Configuración y, después, desplázate hasta "Zona de peligro".

Administrar la gráfica de dependencias

Los propietarios de la empresa pueden configurar el gráfico de dependencias y Dependabot alerts para una empresa. Para más información, vea "Habilitación del gráfico de dependencias para la empresa" y "Habilitación de Dependabot para la empresa".

Para obtener más información, consulte "Exploración de las dependencias de un repositorio".

Administrar las Dependabot alerts

Las Dependabot alerts se generan cuando GitHub identifica una dependencia que presenta una vulnerabilidad en la gráfica de dependencias.

Los propietarios de la empresa pueden configurar el gráfico de dependencias y Dependabot alerts para una empresa. Para más información, vea "Habilitación del gráfico de dependencias para la empresa" y "Habilitación de Dependabot para la empresa".

Para obtener más información, consulta "Acerca de Dependabot alerts."

Administrar la revisión de dependencias

La revisión de dependencias te permite visualizar los cambios a las dependencias en las solicitudes de cambios antes de que se fusionen con tus repositorios. Para obtener más información, consulte "Acerca de la revisión de dependencias".

La revisión de dependencias es una característica de la GitHub Advanced Security. Para habilitar la revisión de dependencias para un repositorio , asegúrate de que la gráfica de dependencias se encuentre habilitada y habilita la GitHub Advanced Security.

  1. Desde la página principal del repositorio, haga clic en Settings.
  2. Haga clic en Security & analysis.
  3. Compruebe que su empresa tenga configurado el gráfico de dependencias.
  4. If GitHub Advanced Security aún no está habilitado, haga clic en Enable.

Administrar las Dependabot security updates

En el caso de cualquier repositorio que utilice las Dependabot alerts, puedes habilitar las Dependabot security updates para levantar solicitudes de cambio con actualizaciones de seguridad cuando se detectan las vulnerabilidades.

  1. Desde la página principal del repositorio, haga clic en Settings.
  2. Haga clic en Security & analysis.
  3. Junto a Dependabot security updates, haga clic en Enable.

Para obtener más información, consulte "Acerca de Dependabot security updates" y "Configuración de Dependabot security updates."

Administrar las Dependabot version updates

Puedes habilitar el Dependabot para levantar automáticamente las solicitudes de cambios para mantener tus dependencias actualizadas. Para más información, vea "Acerca de Dependabot version updates".

Para habilitar Dependabot version updates, debes crear un archivo de configuración dependabot.yml. Para más información, vea "Configuración de las actualizaciones de la versión de Dependabot".

Configuración de code scanning

Puedes configurar code scanning para identificar automáticamente vulnerabilidades y errores en el código almacenado en el repositorio mediante un Flujo de trabajo de análisis de CodeQL o una herramienta de terceros. Para más información, consulta "Configuración de code scanning para un repositorio".

El Code scanning se encuentra disponible para repositorios que pertenezcan a organizaciones si tu empresa utilizaGitHub Advanced Security.

Configurar el secret scanning

Secret scanning se disponible para repositorios que pertenezcan a organizaciones si tu empresa usa GitHub Advanced Security. Secret scanning puede estar ya habilitado en su repositorio, en función de la configuración de la organización.

  1. Desde la página principal del repositorio, haga clic en Settings.
  2. Haga clic en Security & analysis.
  3. If GitHub Advanced Security aún no está habilitado, haga clic en Enable.
  4. Haga clic en Enable junto a Secret scanning.

Configurar una política de seguridad

Si eres un mantenedor de repositorios, se recomienda especificar una directiva de seguridad para el repositorio mediante la creación de un archivo denominado SECURITY.md en el repositorio. Este archivo indica a los usuarios la mejor forma de ponerse en contacto y colaborar contigo cuando quieran notificar vulnerabilidades de seguridad en el repositorio. Puedes ver la directiva de seguridad de un repositorio en la pestaña Seguridad del repositorio.

  1. Desde la página principal del repositorio, haga clic en Security.
  2. Haga clic en Security policy.
  3. Haga clic en Iniciar configuración.
  4. Agrega información sobre las versiones compatibles con tu proyecto y de cómo reportar las vulnerabilidades.

Para más información, vea "Adición de una directiva de seguridad al repositorio".

Pasos siguientes

Puedes ver y administrar las alertas de las características de seguridad para abordar dependencias y vulnerabilidades en tu código. Para obtener más información, consulta "Visualización y actualización de Dependabot alerts", "Administración de solicitudes de incorporación de cambios para actualizaciones de dependencias", "Administración de code scanning para el repositorio" y "Administración de alertas de secret scanning".