Acerca de la administración de los parámetros de seguridad y análisis
GitHub puede ayudarte a asegurar los repositorios en tu organización. Puedes administrar las características de seguridad y de análisis para todos los repositorios existentes que los miembros creen en tu organización. Las organizaciones que utilizan Nube de GitHub Enterprise con una licencia de GitHub Advanced Security también pueden administrar el acceso a estas características. Para obtener más información, consulta la documentación de Nube de GitHub Enterprise.
Nota: No puedes inhabilitar algunas características de seguridad y análisis que están habilitadas predeterminadamente para los repositorios públicos.
Si habilitas las características de seguridad y de análisis, GitHub realizará análisis de solo lectura en tu repositorio. Para obtener más información, consulta la sección "Acerca de cómo GitHub utiliza tus datos".
Mostrar la configuración de seguridad y de análisis
-
En la esquina superior derecha de GitHub.com, haz clic en tu foto de perfil y luego en Tus organizaciones.
-
Junto a la organización, haz clic en Configuración.
-
En la sección de "Seguridad" de la barra lateral, haz clic en Análisis y seguridad de código.
La página que se muestra te permite habilitar o inhabilitar todas las características de seguridad y de análisis para los repositorios de tu organización.
Habilitar o inhabilitar una característica para todos los repositorios existentes
Puedes habilitar o inhabilitar las características para todos los repositorios. El impacto de tus cambios en los repositorios de tu organización se determina de acuerdo con su visibilidad:
- Gráfica de dependencias - Tus cambios solo afectan a repositorios privados porque la característica siempre está habilitada para los repositorios públicos.
- Las alertas del dependabot - Tus cambios afectan a todos los repositorios.
- Actualizaciones de seguridad del dependabot - Tus cambios afectan a todos los repositorios.
-
Ve a la configuración de análisis y seguridad para tu organización. Para obtener más información, consulta la sección "Mostrar la configuración de análisis y seguridad".
-
Debajo de "Análisis y seguridad de código", a la derecha de la característica, haz clic en Inhabilitar todo o en Habilitar todo.
-
Opcionalmente, habilita la característica predeterminada para los repositorios nuevos en tu organización.
-
Da clic en Inhabilitar CARACTERÍSTICA o en Habilitar CARACTERÍSTICA para inhabilitar o habilitar la característica para todos los repositorios en tu organización.
Cuando habilitas una o más características de seguridad y análisis para los repositorios existentes, verás cualquier resultado que se muestra en GitHub al cabo de unos pocos minutos:
- Todos los repositorios existentes tendrán la configuración seleccionada.
- Los repositorios nuevos seguirán la configuración seleccionada si habilitaste la casilla de verificación para estos.
- Utilizamos los permisos para escanear en busca de archivos de manifiesto para aplicar los servicios relevantes.
- Si se habilita, verás la información de dependencias en la gráfica de dependencias.
- Si se habilita, GitHub generará Las alertas del dependabot para las dependencias vulnerables.
- Si se habilita, las actualizaciones de seguridad del Dependabot crearán solicitudes de cambios para actualizar las dependencias vulnerables cuando se activen las Las alertas del dependabot.
Habilitar o inhabilitar una característica automáticamente cuando se agregan repositorios nuevos
-
Ve a la configuración de análisis y seguridad para tu organización. Para obtener más información, consulta la sección "Mostrar la configuración de análisis y seguridad".
-
Debajo de "Análisis y seguridad de código", a la derecha de la característica, habilítala o inhabilítala para que sea predeterminada en los repositorios nuevos o en todos los repositorios nuevos privados, de tu organización.
Permitir que el Dependabot acceda a las dependencias privadas
El Dependabot puede verificar si hay referencias obsoletas de las dependencias en un proyecto y generar automáticamente una solicitud de cambios para actualizarlas. Para hacerlo, el Dependabot debe tener acceso a todos los archivos de dependencia que sean el objetivo. Habitualmente, las actualizaciones de versión fallarán si una o más dependencias son inaccesibles. Para obtener más información, consulta la sección "Acerca de las actualizaciones de versión del Dependabot".
Predeterminadamente, el Dependabot no puede actualizar las dependencias que se ubican en los repositorios o en los registros de paquetes privados. Sin embargo, si una dependencia se encuentra en un repositorio privado de GitHub dentro de la misma organización que el proyecto que la utiliza, puedes permitir al Dependabot actualizar la versión exitosamente si le otorgas acceso al repositorio en el que se hospeda.
Si tu código depende de paquetes en un registro privado, puedes permitir que el Dependabot actualice las versiones de estas dependencias si configuras esto a nivel del repositorio. Puedes hacer esto si agregas los detalles de autenticación al archivo dependabot.yml para el repositorio. Para obtener más información, consulta la sección "Opciones de configuración para el archivo dependabot.yml".
Para permitir que el Dependabot acceda a un repositorio privado de GitHub:
-
Ve a la configuración de análisis y seguridad para tu organización. Para obtener más información, consulta la sección "Mostrar la configuración de análisis y seguridad".
-
Debajo de "Acceso del Dependabot a repositorios privados", haz clic en Agregar repositorios privados o Agregar repositorios internos y privados.
-
Comienza a teclear el nombre del repositorio que quieras permitir.
-
Haz clic en el repositorio que quieras permitir.
-
Opcionalmente, para eliminar un repositorio de la lista, a la derecha de este, haz clic en .