Nota: Las vistas "Riesgo de seguridad" y "Cobertura de seguridad" están actualmente disponibles en versión beta y están sujetas a cambios.
Información sobre la adopción de características de seguridad de código
Puede usar información general de seguridad para ver qué repositorios y equipos ya han habilitado cada característica de seguridad de código y dónde los usuarios necesitan más estímulo para adoptar estas características. En la vista "Cobertura de seguridad" se muestra un resumen e información detallada sobre la habilitación de características para una organización. Puede filtrar la vista para mostrar un subconjunto de repositorios mediante los vínculos "habilitado" y "no habilitado", el menú desplegable "Teams" y un campo de búsqueda en el encabezado de página.
Nota: las "Alertas de solicitud de incorporación de cambios" solo se notifican como habilitadas cuando code scanning ha analizado al menos una solicitud de incorporación de cambios desde que las alertas estaban habilitadas para el repositorio.
Visualización de la habilitación de las características de seguridad de código de una organización
Puedes ver datos para evaluar la habilitación de las características de seguridad de código en todas las organizaciones de una empresa. Los datos que se muestran en la información general de seguridad varían según el acceso que tenga a los repositorios, y según si esos repositorios usan GitHub Advanced Security. Para obtener más información, vea «Información general sobre seguridad».
-
En tu instancia de GitHub Enterprise Server, ve a la página principal de la organización.
-
En el nombre de la organización, haga clic en Seguridad .
-
Para mostrar la vista "Cobertura de seguridad", en la barra lateral, haga clic en Cobertura .
-
Use las opciones del resumen de la página para filtrar los resultados y mostrar los repositorios que desea evaluar. La lista de repositorios y métricas que se muestran en la página se actualizan automáticamente para que coincidan con la selección actual. Para obtener más información sobre los filtros, consulte "Filtrar alertas en la información general sobre seguridad."
- Use el menú desplegable Teams para mostrar información solo para los repositorios que pertenecen a uno o varios equipos. Para obtener más información, vea «Administrar el acceso de equipo a un repositorio de la organización».
- Haga clic en NUMBER habilitado o EN NUMBER no habilitado en el encabezado de cualquier característica para mostrar solo los repositorios con esa característica habilitada o no habilitada.
- En la parte superior de la lista de repositorios, haga clic en NUMBER Archived para mostrar solo los repositorios archivados.
- Haga clic en el cuadro de búsqueda para agregar más filtros a los repositorios que se muestran.
-
Opcionalmente, haga clic en Configuración de seguridad para habilitar las características de seguridad de código para un repositorio y haga clic en Guardar configuración de seguridad para confirmar los cambios. Si no se muestra una característica, tiene requisitos de configuración más complejos y debe usar el cuadro de diálogo de configuración del repositorio. Para obtener más información, vea «Inicio rápido para proteger el repositorio».
Interpretación y actuación en los datos de habilitación
Algunas características de seguridad de código pueden y deben habilitarse en todos los repositorios. Por ejemplo, alertas de examen de secretos y la protección de inserción reducen el riesgo de pérdida de seguridad independientemente de la información almacenada en el repositorio. Si ve repositorios que todavía no usan estas características, debe habilitarlos o analizar un plan de habilitación con el equipo propietario del repositorio. Para obtener información sobre cómo habilitar características para toda una organización, consulte "Administrar la configuración de seguridad y análisis de su organización". Para obtener información sobre cómo habilitar características en toda la empresa, consulte "Administración de las características de GitHub Advanced Security para la empresa".
Existen otras características que no están disponibles para su uso en todos los repositorios. Por ejemplo, no tendría sentido activar Dependabot ni code scanning para repositorios que solo usan ecosistemas o lenguajes no compatibles. Por lo tanto, es normal tener algunos repositorios en los que estas características no están habilitadas.
Es posible que la empresa también haya configurado directivas para limitar el uso de algunas características de seguridad de código. Para obtener más información, vea «Aplicación de directivas de seguridad y análisis de código de la empresa».