Esta versión de GitHub Enterprise Server se discontinuó el 2024-03-26. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener rendimiento mejorado, seguridad mejorada y nuevas características, actualice a la versión más reciente de GitHub Enterprise Server. Para obtener ayuda con la actualización, póngase en contacto con el soporte técnico de GitHub Enterprise.

Protección de la organización

Puedes utilizar varias características de GitHub para ayudar a mantener tu organización segura.

¿Quién puede utilizar esta característica?

Organization owners and security managers can manage security features for an organization.

En este artículo

Introducción

Como propietario o administrador de seguridad de la organización, puedes usar las características de seguridad de GitHub para proteger el código, las dependencias y los secretos de la organización. Para obtener más información, vea «Características de seguridad de GitHub».

Las necesidades de seguridad de una organización son únicas. Quizás quieras habilitar una característica si tu organización se ha visto afectada por una vulnerabilidad que habría impedido una determinada característica, o si la característica va a ayudar a la organización a satisfacer un requisito de cumplimiento.

Puedes habilitar características de seguridad en varios repositorios de una organización al mismo tiempo. Para cada característica que quieras habilitar, debes decidir cómo implementarla en los repositorios de la organización. Diferentes características tienen efectos diferentes en su organización y sus colaboradores, por lo que es importante evaluar el impacto que tendrá cada una. Por ejemplo:

  • Algunas características pueden generar notificaciones para informar a los miembros de la organización sobre vulnerabilidades específicas: para asegurarte de que estas notificaciones son específicas y pertinentes, es posible que quieras pedir a los miembros que comprueben su configuración de notificaciones antes de habilitar una característica. Para obtener más información, vea «Configuración de notificaciones».
  • Algunas características pueden consumir recursos en cada repositorio en el que están habilitadas. Por ejemplo, habilitar code scanning en un repositorio privado puede consumir una licencia de GitHub Advanced Security, y ejecutar análisis de code scanning en un repositorio incurrirá en el uso de GitHub Actions u otro sistema de CI.

Como propietario de la organización, puedes conceder a determinados usuarios permiso para habilitar o deshabilitar las características de seguridad mediante la asignación del rol "administrador de seguridad" a un equipo. Los administradores de seguridad pueden configurar la seguridad y supervisar el uso de características de seguridad en toda la organización. Para obtener más información, vea «Gestionar a los administradores de seguridad en tu organización».

Acerca de los requisitos previos de las características

Algunas características de seguridad tienen requisitos previos. Por ejemplo, Dependabot alerts usan información del gráfico de dependencias, por lo que habilitar Dependabot alerts habilita automáticamente dicho gráfico.

Algunas características se solo están disponibles para empresas que usan GitHub Advanced Security y han habilitado Advanced Security como característica en los repositorios. Para obtener más información, vea «Acerca de GitHub Advanced Security».

Nota: Las empresas pueden establecer una directiva para administrar qué organizaciones pueden habilitar GitHub Advanced Security. Para obtener más información, vea «Aplicación de directivas de seguridad y análisis de código de la empresa».

Hay algunas características que debes configurar para cada repositorio. Por ejemplo, para habilitar Dependabot version updates en un repositorio, debes agregar un archivo dependabot.yml que especifique dónde encontrar información sobre las dependencias del proyecto. Para obtener más información, vea «Configuración de las actualizaciones de versiones de Dependabot».

Habilitación de características de seguridad en la organización

Cuando hayas decidido habilitar una característica de seguridad, el siguiente paso es decidir cómo implementarla en la organización.

Cuando hayas decidido cómo habilitar una característica para los repositorios existentes de la organización, también debes decidir cómo controlar los nuevos repositorios creados en tu organización en el futuro. Para más información, consulta "Habilitación de una característica para nuevos repositorios".

Para más información sobre cómo crear una estrategia para implementar características de seguridad en una organización o empresa de gran tamaño, consulte "Introducción a la adopción de la Seguridad Avanzada de GitHub a escala."

Habilitación de una característica para todos los repositorios

La forma más rápida de implementar una característica de seguridad es habilitarla para todos los repositorios de la organización a la vez. Si has identificado la necesidad crítica de una característica, habilitarla para todos los repositorios te ofrece protección en toda la organización, sin necesidad de parar para diseñar un plan de implementación.

Antes de habilitar una característica en todos los repositorios, debes tener en cuenta el impacto que tendrá esta acción. Si no estás seguro de los efectos que tendrá una característica, es más seguro empezar habilitando la característica en una selección limitada de estos. Es probable que habilitar una característica en todos los repositorios a la vez sea una opción adecuada en las situaciones siguientes.

  • Tiene información general de todos los repositorios de la organización y estás seguro de que todos se beneficiarán de una determinada característica.
  • Si una característica requiere recursos, como licencias de GitHub Advanced Security o minutos de GitHub Actions, has evaluado los recursos necesarios y estás de acuerdo en seguir adelante.
  • Si la característica genera notificaciones o solicitudes de incorporación de cambios, puedes estar seguro de que serán específicas y pertinentes para los miembros que las reciben o tienen que revisarlas.

Cuando estés listo para continuar, sigue estos pasos para habilitar una característica en todos los repositorios.

  1. En tu instancia de GitHub Enterprise Server, ve a la página principal de la organización.

  2. En el nombre de la organización, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de las pestañas en el perfil de una organización. La pestaña "Configuración" se destaca en naranja oscuro.

  3. En la barra lateral izquierda, haz clic en Seguridad y análisis del código.

  4. Busque la característica que desea habilitar y use las casillas asociadas para ajustar las opciones.

  5. Cuando estés listo para habilitar una característica en todos los repositorios de la organización donde se admita, junto al nombre de la característica, haz clic en Habilitar todo.

Al hacer clic en Habilitar todo, se te pedirá que confirmes tu elección. También se te informará de si la característica depende de otra característica o requiere GitHub Advanced Security. Para obtener más información, vea «Administrar la configuración de seguridad y análisis de su organización».

Habilitación de una característica en una selección de repositorios

En algunos casos, es mejor identificar una selección de repositorios que requieren una característica y, luego, habilitar la característica solo en ellos.

Si no estás seguro del impacto que tendrá una característica, es posible que quieras probarla en una selección limitada de repositorios antes de confirmar la habilitación de la característica en todos ellos; o puede que quieras implementar la característica de forma gradual en varias fases. Puede que también seas consciente de que algunos repositorios de tu organización requieren un conjunto de características distinto al de otros.

Cuando hayas identificado los repositorios que requieren una característica, puedes habilitarla para cada uno. Como propietario o administrador de seguridad de la organización, puedes configurar la seguridad de cada repositorio de la organización. Para obtener más información, vea «Asegurar tu repositorio».

Si tienes un número limitado de licencias de GitHub Advanced Security, es posible que quieras dar prioridad a los repositorios que contienen proyectos críticos o que tengan las frecuencias de confirmación más altas. Para obtener más información, vea «Acerca de la facturación de GitHub Advanced Security».

Habilitación de una característica en nuevos repositorios

Puedes optar por habilitar automáticamente una característica de seguridad en todos los repositorios nuevos que se crean en tu organización. La habilitación de características en nuevos repositorios garantiza que están protegidos inmediatamente y que las vulnerabilidades de los repositorios se identifican lo antes posible. Sin embargo, para usar las características de seguridad de la forma más eficaz posible, es posible que prefieras revisar cada nuevo repositorio de forma individual.

  1. En tu instancia de GitHub Enterprise Server, ve a la página principal de la organización.

  2. En el nombre de la organización, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de las pestañas en el perfil de una organización. La pestaña "Configuración" se destaca en naranja oscuro.

  3. En la barra lateral izquierda, haz clic en Seguridad y análisis del código.

  4. Debajo del nombre de la característica, selecciona la opción para habilitar automáticamente la característica en repositorios futuros aplicables.

    Captura de pantalla de la página "Seguridad y análisis del código". Debajo de "Alertas de Dependabot", se resalta en naranja una casilla para habilitar la característica en repositorios futuros.

Supervisión del impacto de las características de seguridad

Cuando hayas habilitado una característica, debes comunicarte con los administradores y colaboradores del repositorio de tu organización para evaluar el impacto. Puede que tengas que ajustar la configuración de algunas características a nivel de repositorio o volver a evaluar la distribución de las características de seguridad en toda la organización. También debes supervisar las alertas de seguridad que genera una característica y las respuestas de los miembros a estas alertas.

Usted pueden emplear la información general de seguridad para ver qué equipos y repositorios están afectados por las alertas de seguridad, con un desglose de estas por gravedad. Para más información, consulte "Evaluación del riesgo de seguridad del código".

Puedes usar varias herramientas para supervisar las acciones que realizan los miembros de la organización en respuesta a las alertas de seguridad. Para más información, consulta "Auditoría de alertas de seguridad".

Pasos siguientes

Para ayudar a los usuarios a notificar vulnerabilidades de seguridad, puedes crear una directiva de seguridad predeterminada que se mostrará en cualquiera de los repositorios públicos de la organización que no tengan la suya propia. Para obtener más información, vea «Creación de un archivo predeterminado de mantenimiento de la comunidad».

Una vez implementada la configuración de seguridad de la organización, podrías impedir que los usuarios cambien la configuración de seguridad en un repositorio. Un propietario de empresa puede impedir que los administradores del repositorio habiliten o deshabiliten características en un repositorio. Para obtener más información, vea «Aplicación de directivas de seguridad y análisis de código de la empresa».

Si usa GitHub Actions, puede usar las características de seguridad de GitHub que puede usar para aumentar la seguridad de los flujos de trabajo. Para obtener más información, vea «Uso de las características de seguridad de GitHub para proteger el uso de Acciones de GitHub».