Administrar la configuración de seguridad y análisis de su organización

Acerca de la administración de los parámetros de seguridad y análisis

GitHub puede ayudarle a asegurar los repositorios en su organización. Puedes administrar las características de seguridad y de análisis para todos los repositorios existentes que los miembros creen en tu organización. Las organizaciones que utilizan GitHub Enterprise Cloud con una licencia de GitHub Advanced Security también pueden administrar el acceso a estas características. Para más información, vea la documentación de GitHub Enterprise Cloud.

Nota: No puede deshabilitar algunas características de seguridad y análisis que están habilitadas de manera predeterminada para los repositorios públicos.

Si habilita las características de seguridad y análisis, GitHub realiza un análisis de solo lectura en el repositorio. Para obtener más información, vea «[AUTOTITLE](/get-started/privacy-on-github/about-githubs-use-of-your-data)».

Mostrar la configuración de seguridad y de análisis

En la esquina superior derecha de GitHub.com, haga clic en la foto de perfil y luego en Your organizations.

2. Junto a la organización, haga clic en Settings.
En la sección "Seguridad" de la barra lateral, haga clic en Análisis y seguridad del código.

La página que se muestra te permite habilitar o inhabilitar todas las características de seguridad y de análisis para los repositorios de tu organización.

Habilitación o deshabilitación de una característica para todos los repositorios existentes

Puedes habilitar o inhabilitar las características para todos los repositorios. El impacto de los cambios en los repositorios de la organización se determina en función de su visibilidad:

Informes de vulnerabilidades privados: los cambios solo afectan a los repositorios públicos.
Gráfico de dependencias: los cambios solo afectan a repositorios privados porque la característica siempre está habilitada para los repositorios públicos.
Dependabot alerts : los cambios afectan a todos los repositorios.
Dependabot security updates : los cambios afectan a todos los repositorios.
Secret scanning - Tus cambios afectan a repositorios públicos y paquetes npm públicos de los que dependen estos repositorios. Esta opción controla si alertas de examen de secretos para usuarios están habilitadas o no. Las Alertas de examen de secretos para asociados siempre se ejecutan en todos los repositorios públicos.
Code scanning : los cambios afectan a repositorios públicos Para obtener más información sobre los repositorios aptos, consulte Configuración del análisis de código a escala mediante CodeQL. En el caso de los repositorios que no son aptos para la configuración predeterminada, puede establecer la configuración avanzada en el nivel de repositorio. Para obtener más información, vea «Configuración del análisis de código para un repositorio».

Vaya a la configuración de seguridad y análisis de su organización. Para más información, vea "Representación de la configuración de seguridad y análisis".
En "Seguridad y análisis de código", a la derecha de la característica, haga clic en Deshabilitar todo o Habilitar todo para mostrar un cuadro de diálogo de confirmación.
Revise la información del cuadro de diálogo.
Opcionalmente, si vas a habilitar una característica, selecciona Habilitar de forma predeterminada para los nuevos repositorios privados .
Cuando tenga todo listo para realizar los camboios, haga clic en Deshabilitar CARACTERÍSTICA o Habilitar CARACTERÍSTICA a fin de deshabilitar o habilitar la característica para todos los repositorios de la organización.

Nota: La capacidad de habilitar y deshabilitar la configuración predeterminada para code scanning para repositorios aptos en una organización está actualmente en versión beta y está sujeta a cambios. Durante la versión beta, si deshabilita los datos CodeQL code scanning para todos los repositorios, este cambio no se reflejará en la información de cobertura que se muestra en la información de seguridad de la organización. Los repositorios seguirán teniendo code scanning habilitado en esta vista.

Cuando habilitas una o más características de seguridad y análisis para los repositorios existentes, verás cualquier resultado que se muestra en GitHub al cabo de unos pocos minutos:

Todos los repositorios existentes tendrán la configuración seleccionada.
Los repositorios nuevos seguirán la configuración seleccionada si ha habilitado la casilla para los repositorios nuevos.
Utilizamos los permisos para escanear en busca de archivos de manifiesto para aplicar los servicios relevantes.
Si se habilita, verás la información de dependencias en la gráfica de dependencias.
Si se habilitan, GitHub generará Dependabot alerts para las dependencias vulnerables o malware.
Si se habilita, las actualizaciones de seguridad del Dependabot crearán solicitudes de cambios para actualizar las dependencias vulnerables cuando se activen las Dependabot alerts.

Habilitar o inhabilitar una característica automáticamente cuando se agregan repositorios nuevos

Vaya a la configuración de seguridad y análisis de su organización. Para más información, vea "Representación de la configuración de seguridad y análisis".
En "Seguridad y análisis de código", localiza la característica, habilita o deshabilita la característica de forma predeterminada para los repositorios nuevos, o todos los repositorios privados nuevos, en la organización.

Permitir que el Dependabot acceda a las dependencias privadas

El Dependabot puede verificar si hay referencias obsoletas de las dependencias en un proyecto y generar automáticamente una solicitud de cambios para actualizarlas. Para hacerlo, el Dependabot debe tener acceso a todos los archivos de dependencia que sean el objetivo. Habitualmente, las actualizaciones de versión fallarán si una o más dependencias son inaccesibles. Para obtener más información, vea «Acerca de las actualizaciones a la versión del Dependabot».

Predeterminadamente, el Dependabot no puede actualizar las dependencias que se ubican en los repositorios o en los registros de paquetes privados. Sin embargo, si una dependencia se encuentra en un repositorio privado de GitHub dentro de la misma organización que el proyecto que la utiliza, puedes permitir al Dependabot actualizar la versión exitosamente si le otorgas acceso al repositorio en el que se hospeda.

Si tu código depende de paquetes en un registro privado, puedes permitir que el Dependabot actualice las versiones de estas dependencias si configuras esto a nivel del repositorio. Para ello, agregue los detalles de autenticación al archivo dependabot.yml del repositorio. Para obtener más información, vea «Opciones de configuración para el archivo dependabot.yml».

Para permitir que el Dependabot acceda a un repositorio privado de GitHub:

Vaya a la configuración de seguridad y análisis de su organización. Para más información, vea "Representación de la configuración de seguridad y análisis".
En "Conceder a Dependabot acceso a repositorios privados", haz clic en Agregar repositorios privados o Agregar repositorios internos y privados para mostrar un campo de búsqueda de repositorio.
Empiece a escribir el nombre del repositorio al que desea conceder acceso a Dependabot.
Se muestra una lista de repositorios coincidentes de la organización, haga clic en el repositorio al que desea permitir el acceso y se agregará a la lista de permitidos.
Opcionalmente, para eliminar un repositorio de la lista, a la derecha de este, haz clic en .