Skip to main content

Administrar la configuración de seguridad y análisis de su organización

Puedes controlar las características que aseguran y analizan el código en los proyectos de tu organización en GitHub.

Who can use this feature

Organization owners can manage security and analysis settings for repositories in the organization.

Acerca de la administración de los parámetros de seguridad y análisis

GitHub puede ayudarte a asegurar los repositorios en tu organización. Puedes administrar las características de seguridad y de análisis para todos los repositorios existentes que los miembros creen en tu organización. Las organizaciones que utilizan GitHub Enterprise Cloud con una licencia de GitHub Advanced Security también pueden administrar el acceso a estas características. Para más información, vea la documentación de GitHub Enterprise Cloud.

Nota: No puede deshabilitar algunas características de seguridad y análisis que están habilitadas de manera predeterminada para los repositorios públicos.

Si habilita las características de seguridad y análisis, GitHub realiza un análisis de solo lectura en el repositorio. Para más información, vea "[Acerca del uso de los datos en GitHub](/github/understanding-how-github-uses-and-protects-your-data/about-githubs-use-of-your-data)".

Mostrar la configuración de seguridad y de análisis

  1. En la esquina superior derecha de GitHub.com, haga clic en la foto de perfil y luego en Your organizations. Opción Your organizations (Sus organizaciones) en el menú del perfil 2. Junto a la organización, haga clic en Settings. El botón de configuración
  2. In the "Security" section of the sidebar, click Code security and analysis.

La página que se muestra te permite habilitar o inhabilitar todas las características de seguridad y de análisis para los repositorios de tu organización.

Habilitación o deshabilitación de una característica para todos los repositorios existentes

Puedes habilitar o inhabilitar las características para todos los repositorios. El impacto de los cambios en los repositorios de la organización se determina en función de su visibilidad:

  • Gráfico de dependencias: los cambios solo afectan a repositorios privados porque la característica siempre está habilitada para los repositorios públicos.
  • Dependabot alerts : los cambios afectan a todos los repositorios.
  • Dependabot security updates : los cambios afectan a todos los repositorios.
  1. Vaya a la configuración de seguridad y análisis de su organización. Para más información, vea "Representación de la configuración de seguridad y análisis".
  2. En "Seguridad y análisis de código", a la derecha de la característica, haga clic en Deshabilitar todo o Habilitar todo. Botón "Habilitar todo" o "Deshabilitar todo" para las características de "Configurar seguridad y análisis"
  3. Opcionalmente, habilita la característica predeterminada para los repositorios nuevos en tu organización. Opción "Habilitar de forma predeterminada" para los repositorios nuevos
  4. Haga clic en Deshabilitar CARACTERÍSTICA o Habilitar CARACTERÍSTICA a fin de deshabilitar o habilitar la característica para todos los repositorios de la organización. Botón para deshabilitar o habilitar la característica

Cuando habilitas una o más características de seguridad y análisis para los repositorios existentes, verás cualquier resultado que se muestra en GitHub al cabo de unos pocos minutos:

  • Todos los repositorios existentes tendrán la configuración seleccionada.
  • Los repositorios nuevos seguirán la configuración seleccionada si ha habilitado la casilla para los repositorios nuevos.
  • Utilizamos los permisos para escanear en busca de archivos de manifiesto para aplicar los servicios relevantes.
  • Si se habilita, verás la información de dependencias en la gráfica de dependencias.
  • Si se habilitan, GitHub generará Dependabot alerts para las dependencias vulnerables o malware.
  • Si se habilita, las actualizaciones de seguridad del Dependabot crearán solicitudes de cambios para actualizar las dependencias vulnerables cuando se activen las Dependabot alerts.

Habilitar o inhabilitar una característica automáticamente cuando se agregan repositorios nuevos

  1. Vaya a la configuración de seguridad y análisis de su organización. Para más información, vea "Representación de la configuración de seguridad y análisis".
  2. En "Seguridad y análisis de código", a la derecha de la característica, habilite o deshabilite la característica de forma predeterminada para los repositorios nuevos, o todos los repositorios privados nuevos, en la organización. Captura de pantalla de una casilla para habilitar una característica para los repositorios nuevos

Permitir que el Dependabot acceda a las dependencias privadas

El Dependabot puede verificar si hay referencias obsoletas de las dependencias en un proyecto y generar automáticamente una solicitud de cambios para actualizarlas. Para hacerlo, el Dependabot debe tener acceso a todos los archivos de dependencia que sean el objetivo. Habitualmente, las actualizaciones de versión fallarán si una o más dependencias son inaccesibles. Para más información, vea "Acerca de las actualizaciones de versiones de Dependabot".

Predeterminadamente, el Dependabot no puede actualizar las dependencias que se ubican en los repositorios o en los registros de paquetes privados. Sin embargo, si una dependencia se encuentra en un repositorio privado de GitHub dentro de la misma organización que el proyecto que la utiliza, puedes permitir al Dependabot actualizar la versión exitosamente si le otorgas acceso al repositorio en el que se hospeda.

Si tu código depende de paquetes en un registro privado, puedes permitir que el Dependabot actualice las versiones de estas dependencias si configuras esto a nivel del repositorio. Para ello, agregue los detalles de autenticación al archivo dependabot.yml del repositorio. Para más información, vea "Opciones de configuración para el archivo dependabot.yml".

Para permitir que el Dependabot acceda a un repositorio privado de GitHub:

  1. Vaya a la configuración de seguridad y análisis de su organización. Para más información, vea "Representación de la configuración de seguridad y análisis".

  2. En "Acceso a repositorios privados de Dependabot", haga clic en Agregar repositorios privados o Agregar repositorios internos y privados. Botón para agregar repositorios

  3. Comience a escribir el nombre del repositorio que desee permitir. Campo de búsqueda de repositorios con el menú desplegable Filtrado

  4. Haga clic en el repositorio que desee permitir.

  5. Opcionalmente, para eliminar un repositorio de la lista, a la derecha de este, haz clic en . Botón "X" para quitar un repositorio

Información adicional