Enterprise Server 3.21 actualmente está disponible como versión candidata para lanzamiento.

Inicio rápido para proteger el repositorio

Administre el acceso al código. Busque y corrija el código vulnerable y las dependencias automáticamente.

¿Quién puede utilizar esta característica?

Propietarios de repositorios, propietarios de organizaciones, administradores de seguridad y usuarios con el rol de administrador

En este artículo

Presentación

Esta guía te muestra cómo configurar las características de seguridad para un repositorio.

Tus necesidades de seguridad son únicas de tu repositorio, así que puede que no necesites habilitar todas las características de seguridad para este. Para más información, consulta Características de seguridad de GitHub.

Algunas características están disponibles para todos los repositorios. Hay características adicionales disponibles para organizaciones y empresas que usan GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security. Para más información, consulta Acerca de GitHub Advanced Security.

Administrar el acceso a tu repositorio

El primer paso para asegurar un repositorio es establecer quién puede ver y modificar tu código. Para más información, consulta Administración de la configuración y las características del repositorio.

En la página principal del repositorio, haga clic en Configuración y desplácese hacia abajo hasta la "Zona de peligro".

Administrar la gráfica de dependencias

Los propietarios de la empresa pueden configurar el gráfico de dependencias y las Dependabot alerts para una empresa. Para más información, consulta Enabling the dependency graph for your enterprise y Habilitación de Dependabot para la empresa.

Para más información, consulta Exploring the dependencies of a repository.

Administración Dependabot alerts

Dependabot alerts se generan cuando GitHub identifica una dependencia en el gráfico de dependencias con una vulnerabilidad.

Además, puedes usar las reglas de alerta de Evaluación de prioridades automática de Dependabot para evaluar automáticamente las alertas, por lo que puede ignorar automáticamente las alertas y especificar para qué alertas quieres que Dependabot abra solicitudes de cambios. Para obtener información sobre los distintos tipos de reglas de evaluación de prioridades automáticas y si los repositorios son aptos, consulta Dependabot auto-triage rules.

Para obtener información general sobre las diferentes características que ofrece Dependabot e instrucciones sobre cómo empezar, consulta Dependabot quickstart guide.

Los propietarios de la empresa deben configurar el gráfico de dependencias y las Dependabot alerts para una empresa.

Una vez configuradas las Dependabot alerts, los administradores de repositorios y los propietarios de la organización pueden habilitar Dependabot alerts para repositorios privados e internos en su página de configuración "Advanced Security". Los repositorios públicos están habilitados de forma predeterminada. Para más información, consulta Enabling the dependency graph for your enterprise, Habilitación de Dependabot para la empresa y Configuring Dependabot alerts.

Para obtener más información, consulte Dependabot alerts.

Administrar la revisión de dependencias

La revisión de dependencias te permite visualizar los cambios a las dependencias en las solicitudes de cambios antes de que se fusionen con tus repositorios. Para más información, consulta Dependency review.

La revisión de dependencias es una GitHub Code Security funcionalidad.

Para habilitar la revisión de dependencias de un repositorio, asegúrese de que el gráfico de dependencias está habilitado.

  1. En la página principal del repositorio, haga clic en Configuración.
  2. Haga clic en Advanced Security.
  3. Compruebe que el gráfico de dependencias está configurado para su empresa.

Administración Dependabot security updates

Para cualquier repositorio que use Dependabot alerts, puede habilitar Dependabot security updates para generar solicitudes de incorporación de cambios con actualizaciones de seguridad cuando se detectan vulnerabilidades.

  1. En la página principal del repositorio, haga clic en Configuración.
  2. Haga clic en Advanced Security.
  3. Junto a Dependabot security updates, haga clic en Habilitar.

Para más información, consulta Dependabot security updates y Configuring Dependabot security updates.

Administración Dependabot version updates

Puede habilitar Dependabot para generar automáticamente pull requests para mantener las dependencias actualizadas. Para más información, consulta Dependabot version updates.

Para habilitar Dependabot version updates, debe crear un dependabot.yml archivo de configuración. Para más información, consulta Configuring Dependabot version updates.

Configuración Code Security

GitHub Code Security incluye code scanning, CodeQL CLI y Autofijo de Copilot, así como otras características que buscan y corrigen vulnerabilidades en el código base.

Puede configurar code scanning para identificar automáticamente vulnerabilidades y errores en el código almacenado en su repositorio mediante un Flujo de trabajo de análisis de CodeQL o una herramienta de terceros. En función de los lenguajes de programación de su repositorio, puede configurar code scanning con CodeQL usando la configuración predeterminada, en la cual GitHub determina automáticamente los lenguajes que se van a analizar, las suites de consultas que se van a ejecutar y los eventos que desencadenarán un nuevo análisis. Para más información, consulta Configuring default setup for code scanning.

  1. En la página principal del repositorio, haga clic en Configuración.
  2. En la sección "Seguridad" de la barra lateral, haga clic en Advanced Security.
  3. Si "Code Security" o "GitHub Advanced Security" aún no está habilitado, haga clic en Habilitar.
  4. A la derecha de "Análisis de CodeQL", seleccione Configurar y, a continuación, haga clic en Predeterminado.
  5. En la ventana emergente que aparece, revise la configuración predeterminada del repositorio y, a continuación, haga clic en Habilitar CodeQL.

Como alternativa a la configuración predeterminada, puede usar la configuración avanzada, que genera un archivo de flujo de trabajo que puede editar para personalizar code scanning con CodeQL. Para más información, consulta Establecimiento de la configuración avanzada para el examen del código.

Configuración Secret Protection

GitHub Secret Protection incluye secret scanning y protección contra push, así como otras características que le ayudan a detectar y prevenir filtraciones de secretos en el repositorio.

  1. En la página principal del repositorio, haga clic en Configuración.
  2. Haga clic en Advanced Security.
  3. Si "Secret Protection" o "GitHub Advanced Security" aún no está habilitado, haga clic en Habilitar.
  4. Si se muestra la opción "Secret scanning", haga clic en Habilitar.
  5. Elija si desea habilitar funciones adicionales, como la detección de patrones no del proveedor y la protección contra inserciones no deseadas.

Configurar una política de seguridad

Si eres un mantenedor de repositorios, se recomienda especificar una directiva de seguridad para el repositorio mediante la creación de un archivo denominado SECURITY.md en el repositorio. Este archivo indica a los usuarios la mejor forma de ponerse en contacto y colaborar contigo cuando quieran notificar vulnerabilidades de seguridad en el repositorio. Puede ver la directiva de seguridad de un repositorio desde la pestaña del Security repositorio.

  1. En la página principal del repositorio, haga clic en Security.
  2. En la barra lateral izquierda, en "Informes", haga clic en Directiva de seguridad.
  3. Haga clic en Iniciar configuración.
  4. Agrega información sobre las versiones compatibles con tu proyecto y de cómo reportar las vulnerabilidades.

Para más información, consulta Adding a security policy to your repository.

Pasos siguientes

Puedes ver y administrar las alertas de las características de seguridad para abordar dependencias y vulnerabilidades en tu código. Para más información, consulta Viewing and updating Dependabot alerts, Managing pull requests for dependency updates, Assessing code scanning alerts for your repository y Administración de alertas de examen de secretos.

También puede usar GitHub herramientas para auditar las respuestas a las alertas de seguridad. Para más información, consulta Auditing security alerts.

Si usa GitHub Actions, puede usar las características de seguridad de GitHub que puede usar para aumentar la seguridad de los flujos de trabajo. Para más información, consulta Referencia de uso seguro.