Esta versión de GitHub Enterprise Server se discontinuó el 2023-09-12. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener rendimiento mejorado, seguridad mejorada y nuevas características, actualice a la versión más reciente de GitHub Enterprise Server. Para obtener ayuda con la actualización, póngase en contacto con el soporte técnico de GitHub Enterprise.

Administrar la configuración de seguridad y análisis de su organización

En este artículo

Puedes controlar las características que aseguran y analizan el código en los proyectos de tu organización en GitHub.

Quién puede usar esta característica

Organization owners can manage security and analysis settings for repositories in the organization.

Acerca de la administración de los parámetros de seguridad y análisis

GitHub puede ayudarle a asegurar los repositorios en su organización. Puedes administrar las características de seguridad y de análisis para todos los repositorios existentes que los miembros creen en tu organización.

Mostrar la configuración de seguridad y de análisis

  1. En la esquina superior derecha de GitHub Enterprise Server, haga clic en la foto de perfil y luego en Your organizations.

    Captura de pantalla del menú desplegable en la imagen de perfil de @octocat. "Sus organizaciones" se destaca en naranja oscuro.

  2. Junto a la organización, haga clic en Settings.

  3. En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

La página que se muestra te permite habilitar o inhabilitar todas las características de seguridad y de análisis para los repositorios de tu organización.

Si tiene una licencia para GitHub Advanced Security, la página también contendrá opciones para habilitar y deshabilitar las características de Advanced Security. Cualquier repositorio que utilice GitHub Advanced Security se listará en la parte inferior de la página.

Habilitación o deshabilitación de una característica para todos los repositorios existentes

Puedes habilitar o inhabilitar las características para todos los repositorios.

Nota: Si habilitas GitHub Advanced Security, los usuarios activos que realicen confirmaciones en estos repositorios usarán puestos de GitHub Advanced Security. Esta opción se desactiva si excediste la capacidad de tu licencia.

Nota: Si se produce un error con el mensaje indica "GitHub Advanced Security no se puede habilitar debido a una configuración de directiva para la organización", ponte en contacto con el administrador de la empresa y pídele que cambie la directiva de GitHub Advanced Security para la empresa. Para obtener más información, vea «Aplicación de directivas de seguridad y análisis de código de la empresa».

  1. Vaya a la configuración de seguridad y análisis de su organización. Para más información, vea "Representación de la configuración de seguridad y análisis".

  2. En "Seguridad y análisis de código", a la derecha de la característica, haga clic en Deshabilitar todo o Habilitar todo para mostrar un cuadro de diálogo de confirmación. El control de "GitHub Advanced Security" está deshabilitado si no tiene puestos para GitHub Advanced Security.

  3. Revise la información del cuadro de diálogo.

  4. Opcionalmente, si vas a habilitar una característica, selecciona **Habilitar de forma predeterminada para los nuevos repositorios ** .

    Captura de pantalla del cuadro de diálogo modal "Habilitar CARACTERÍSTICA", con la opción "Habilitar de forma predeterminada para nuevos repositorios privados" resaltada en naranja oscuro.

  5. Cuando tenga todo listo para realizar los camboios, haga clic en Deshabilitar CARACTERÍSTICA o Habilitar CARACTERÍSTICA a fin de deshabilitar o habilitar la característica para todos los repositorios de la organización.

Cuando habilitas una o más características de seguridad y análisis para los repositorios existentes, verás cualquier resultado que se muestra en GitHub al cabo de unos pocos minutos:

  • Todos los repositorios existentes tendrán la configuración seleccionada.
  • Los repositorios nuevos seguirán la configuración seleccionada si ha habilitado la casilla para los repositorios nuevos.
  • Si se habilita, las actualizaciones de seguridad del Dependabot crearán solicitudes de cambios para actualizar las dependencias vulnerables cuando se activen las Dependabot alerts.

Habilitar o inhabilitar una característica automáticamente cuando se agregan repositorios nuevos

  1. Vaya a la configuración de seguridad y análisis de su organización. Para más información, vea "Representación de la configuración de seguridad y análisis".
  2. En "Seguridad y análisis de código", localiza la característica, habilita o deshabilita la característica de forma predeterminada para los repositorios nuevos en la organización.

Permitir que el Dependabot acceda a las dependencias privadas

El Dependabot puede verificar si hay referencias obsoletas de las dependencias en un proyecto y generar automáticamente una solicitud de cambios para actualizarlas. Para hacerlo, el Dependabot debe tener acceso a todos los archivos de dependencia que sean el objetivo. Habitualmente, las actualizaciones de versión fallarán si una o más dependencias son inaccesibles. Para obtener más información, vea «Acerca de las actualizaciones a la versión del Dependabot».

Predeterminadamente, el Dependabot no puede actualizar las dependencias que se ubican en los repositorios o en los registros de paquetes privados. Sin embargo, si una dependencia se encuentra en un repositorio privado de GitHub dentro de la misma organización que el proyecto que la utiliza, puedes permitir al Dependabot actualizar la versión exitosamente si le otorgas acceso al repositorio en el que se hospeda.

Si tu código depende de paquetes en un registro privado, puedes permitir que el Dependabot actualice las versiones de estas dependencias si configuras esto a nivel del repositorio. Para ello, agregue los detalles de autenticación al archivo dependabot.yml del repositorio. Para obtener más información, vea «Opciones de configuración para el archivo dependabot.yml».

Para permitir que el Dependabot acceda a un repositorio privado de GitHub:

  1. Vaya a la configuración de seguridad y análisis de su organización. Para más información, vea "Representación de la configuración de seguridad y análisis".

  2. En "Conceder a Dependabot acceso a repositorios privados", haz clic en Agregar repositorios privados o Agregar repositorios internos y privados para mostrar un campo de búsqueda de repositorio.

    Captura de pantalla de la lista desplegable que puede usar para buscar repositorios. A medida que escribas, los repositorios cuyo nombre coincida con los criterios de búsqueda aparecerán en la lista. El campo de texto de búsqueda está resaltado con un contorno naranja oscuro.

  3. Empiece a escribir el nombre del repositorio al que desea conceder acceso a Dependabot.

  4. Se muestra una lista de repositorios coincidentes de la organización, haga clic en el repositorio al que desea permitir el acceso y se agregará a la lista de permitidos.

  5. Opcionalmente, para eliminar un repositorio de la lista, a la derecha de este, haz clic en .

Eliminar el acceso a GitHub Advanced Security desde los repositorios individuales de una organización

Puedes administrar el acceso a las características de GitHub Advanced Security para un repositorio desde la pestaña de "Configuración". Para obtener más información, consulta "Administración de la configuración de seguridad y análisis para el repositorio". Sin embargo, también puedes inhabilitar las características de la GitHub Advanced Security para un reositorio desde la pestaña de "Configuración" de la organización.

  1. Vaya a la configuración de seguridad y análisis de su organización. Para más información, vea "Representación de la configuración de seguridad y análisis".
  2. Para encontrar una lista de todos los repositorios de tu organización que tengan habilitada la GitHub Advanced Security, desplázate hasta la sección "repositorios con GitHub Advanced Security".

En la tabla se muestra el número de confirmadores únicos en cada repositorio. Este es el número de puestos que podrías liberar si quitas el acceso a GitHub Advanced Security. Para obtener más información, vea «Acerca de la facturación de GitHub Advanced Security».

  1. Para eliminar el acceso a GitHub Advanced Security desde un repositorio y liberar puestos que use cualquier confirmador activo y que solo correspondan a ese repositorio, haz clic en el icono adyacente.
  2. En el cuadro de diálogo de confirmación, haga clic en Quitar repositorio para quitar el acceso a las características de GitHub Advanced Security.

Nota: Si quita el acceso a GitHub Advanced Security de un repositorio, tendrá que comunicárselo al equipo de desarrollo afectado para que sepan que este cambio se ha realizado de forma explícita. Esto garantiza que no pierdan tiempo en depurar las ejecuciones fallidas del escaneo de código.

Información adicional