Skip to main content

Mejores prácticas para asegurar las cuentas

Orientación sobre cómo proteger las cuentas con acceso a tu cadena de suministro de software.

Acerca de esta guía

Esta guía describe los cambios de más alto impacto que puedes hacer para incrementar la seguridad de la cuenta. Cada sección describe un cambio que puedes hacer a tus procesos para mejorar la seguridad. Los cambios de más alto impacto se listan primero.

¿Cuál es el riesgo?

La seguridad de las cuentas es fundamental para la seguridad de tu cadena de suministro. Si un atacante puede apoderarse de tu ceunta en GitHub AE, este puede hacer cambios malintencionados a tu código o a tu proceso de compilación. Así que tu primera meta debería ser que fuera difícil que alguien se apoderara de tu cuenta y de las cuentas de otros miembros de tu organización o empresa.

Configurar la autenticación bifactorial

La mejor forma de mejorar la seguridad de tu empresa en GitHub AE es configurar la autenticación bifactorial (2FA) en tu proveedor de identidad (IdP) de SAML. Las contraseñas por sí mismas pueden ponerse en riesgo si se pueden adivinar fácilmente, si se reutilizan en otro sitio que se haya puesto en riesgo o mediante ingeniería social, como con el phishing. La 2FA hace que sea mucho más difícil que tus cuentas se pongan en riesgo, incluso si un atacante tiene tu contraseña.

Conectarte a GitHub AE utilizando llaves SSH

Hay otras formas de interactuar con GitHub AE màs allà de iniciar sesiòn en el sitio web a travès de tu IdP. Muchas personas autorizan el còdigo que suben a GitHub con una llave SSH privada. Para obtener más información, consulta la sección "Acerca de SSH".

Tal como la contraseña para tu cuenta de IdP, si un atacante pudiera obtener tu llave SSH privada, podrían hacerse pasar por ti y subir código malintencionado a cualquier repositorio al cuál tengas acceso de escritura. Si almacenas tu llave privada SSH en un volumen de disco, es buena idea protegerlo con una frase de ingreso. Para obtener más información, consulta la sección "Trabajar con frases de acceso para llaves SSH".

Otra opción es generar llaves SSH en una llave de seguridad de hardware. Podrías utilizar la misma llave que utilizas para la 2FA. Las llaves de seguridad de hardware son difíciles de poner en riesgo remotamente, ya que la llave SSH privada permanece en el hardware y no se puede acceder directamente a ella desde el software. Para obtener más información, consulta la sección "Generar una llave SSH nueva para una llave de seguridad de hardware".

Las llaves SSH respaldadas por hardware son bastante seguras, pero el requisito de hardware podría no funcionar para algunas organizaciones. Un enfoque alterno es utilizar llaves SSH que solo sean válidas durante un periodo de tiempo corto, para que incluso si esta se pone en riesgo, no pueda aprovecharse por mucho tiempo. Este es el concepto detrás de ejecutar tu propia autoridad de certificados SSH. Si bien este acercamiento te proporciona mucho control de cómo se autentican los usuarios, también trae consigo la responsabilidad de mantener una autoridad de certificados SSH por ti mismo. Para obtener más información, consulta la sección Acerca de las autoridades de certificados SSH".

Pasos siguientes