Skip to main content

GitHub AE es una versión limitada en este momento.

Procedimientos recomendados para proteger las cuentas

Instrucciones sobre cómo proteger las cuentas con acceso a la cadena de suministro de software.

Acerca de esta guía

En esta guía se describen los cambios de mayor impacto que puede realizar para mejorar la seguridad de la cuenta. Cada sección detalla un cambio que puede realizar en los procesos para mejorar la seguridad. Los cambios de mayor impacto se enumeran primero.

¿Cuál es el riesgo?

La seguridad de la cuenta es fundamental para la seguridad de la cadena de suministro. Si un atacante puede tomar el control de su cuenta en GitHub AE, puede realizar cambios malintencionados en el código o el proceso de compilación. Por lo tanto, tu primer objetivo debe ser dificultar que alguien tome el control de tu cuenta y de las cuentas de otros miembros de la organización o empresa.

Configurar la autenticación en dos fases

La mejor forma de mejorar la seguridad de tu empresa en GitHub AE es configurar la autenticación en dos fases (2FA) en tu proveedor de identidades (IdP) de SAML. Las contraseñas por sí mismas pueden verse expuestas si son fáciles de adivinar, al reutilizarse en otro sitio que se haya visto expuesto o por ingeniería social, como el phishing. La autenticación en dos fases hace que sea mucho más difícil que las cuentas se vean expuestas, incluso si un atacante tiene su contraseña.

Como procedimiento recomendado, para garantizar la seguridad y el acceso fiable a su cuenta, siempre debe tener al menos dos credenciales de segundo factor registradas en su cuenta. Las credenciales adicionales garantizan que, incluso si pierde el acceso a una credencial, no se bloqueará la cuenta.

Conectarse a GitHub AE mediante claves de SSH

Hay otras maneras de interactuar con GitHub AE además de iniciar sesión en el sitio web a través del IdP. Muchas personas autorizan el código que insertan en GitHub con una clave privada de SSH. Para obtener más información, vea «Acerca de SSH».

Al igual que sucede con la contraseña de la cuenta del IdP, si un atacante pudo obtener la clave privada de SSH, podría suplantar tu identidad e insertar código malintencionado en cualquier repositorio para el que tengas acceso de escritura. Si almacena la clave privada de SSH en una unidad de disco, es recomendable protegerla con una frase de contraseña. Para obtener más información, vea «Trabajar con contraseñas de clave SSH».

Otra opción es generar claves de SSH una clave de seguridad de hardware. Puede usar la misma clave que está usando para la autenticación en dos fases. Las claves de seguridad de hardware son muy difíciles de exponer de forma remota, ya que la clave de SSH privada permanece en el hardware y no es accesible directamente desde el software. Para obtener más información, vea «Generación de una nueva clave SSH y adición al agente SSH».

Las claves de SSH respaldadas por hardware son bastante seguras, pero es posible que el requisito de hardware no funcione para algunas organizaciones. Un enfoque alternativo consiste en usar claves de SSH que solo sean válidas durante un breve período de tiempo, por lo que aunque la clave privada esté en peligro, no se podrá usar durante mucho tiempo. Este es el concepto que respalda la ejecución de su propia entidad de certificación de SSH. Aunque este enfoque proporciona un gran control sobre cómo se autentican los usuarios, también viene con la responsabilidad de mantener una entidad de certificación de SSH por su cuenta. Para obtener más información, vea «Acerca de las autoridades de certificación de SSH».

Pasos siguientes