Administración de la configuración de seguridad y análisis para el repositorio

Puede controlar las características que protegen y analizan el código del proyecto en GitHub.

¿Quién puede utilizar esta característica?

People with admin permissions to a repository can manage security and analysis settings for the repository.

En este artículo

Acerca de la configuración de seguridad y análisis para el repositorio

          GitHub ofrece una serie de características de seguridad diferentes que puede habilitar para que el repositorio proteja el código frente a vulnerabilidades, acceso no autorizado y otras posibles amenazas de seguridad. 
          Muchas de estas características están disponibles **de forma gratuita para repositorios públicos**.

Habilitar o inhabilitar las características de análisis y seguridad para los repositorios públicos

Puedes administrar un subconjunto de características de análisis y seguridad para los repositorios públicos.

Como mínimo, debes habilitar lo siguiente para el repositorio público:

          Dependabot alerts
          ** notifique las vulnerabilidades de seguridad en la red de dependencias del proyecto para que pueda actualizar la dependencia afectada a una versión más segura.

          Secret scanning
          ** examina el repositorio en busca de secretos (como claves de API y tokens) y le avisa si se encuentra un secreto, de modo que pueda quitar el secreto del repositorio.

  •           La **protección contra inserción** impide que usted (y sus colaboradores) introduzcan secretos en el repositorio en primer lugar, para lo cual bloquea las inserciones que contienen secretos admitidos.

          Code scanning
          ** identifica vulnerabilidades y errores en el código del repositorio, de modo que pueda corregir estos problemas al principio y evitar que actores malintencionados aprovechen una vulnerabilidad o un error.

Otras características están habilitadas permanentemente para repositorios públicos, como el gráfico de dependencias, que muestra todas las bibliotecas y paquetes de los que depende el repositorio.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. Debajo del nombre del repositorio, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Security" de la barra lateral, haz clic en Advanced Security.

  4. En "Advanced Security", a la derecha de la característica, haga clic en Deshabilitar o Habilitar.

Habilitación o deshabilitación de características de seguridad y análisis para repositorios privados

Puede administrar las características de seguridad y análisis del repositorio privado o interno . Si su empresa u organización tiene una licencia para GitHub Code Security o GitHub Secret Protection, hay disponibles opciones adicionales. Para más información, consulta Acerca de GitHub Advanced Security.

Si habilita las características de seguridad y análisis, GitHub realiza un análisis de solo lectura en el repositorio.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. Debajo del nombre del repositorio, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Security" de la barra lateral, haz clic en Advanced Security.

  4. En "Advanced Security", a la derecha de la característica, haga clic en Deshabilitar o Habilitar. El control de "Secret Protection and Code Security" está deshabilitado si organización no tiene licencias disponibles.

    Nota:

    Si deshabilita Secret Protection and Code Security, se deshabilitarán la revisión de dependencias, alertas de escaneo de secretos para usuarios y code scanning. Los flujos de trabajo, las cargas SARIF o las llamadas API para code scanning fallarán. Si Code Security se vuelve a habilitar, code scanning volverá a su estado anterior.

Concesión de acceso a alertas de seguridad

          GitHub Las alertas de seguridad son notificaciones automatizadas que le informan cuando se encuentran vulnerabilidades en las dependencias o el código del repositorio. Te pedirán que revises y corrijas estos problemas, lo que ayuda a mantener el proyecto seguro.

Puede encontrar alertas de seguridad en Dependabot, Secret scanningy Code scanning en la pestaña del Security and quality repositorio.

Las alertas de seguridad de un repositorio son visibles para las personas con acceso de escritura, mantenimiento o administración al mismo y, cuando este le pertenece a una organización, también para los propietarios de esta. Puedes otorgar acceso a las alertas a equipos y personas adicionales.

Nota:

Los propietarios de la organización y los administradores de repositorios solo pueden conceder acceso para ver las alertas de seguridad, como alertas de detección de secretos, a personas o equipos que tienen acceso de escritura al repositorio.

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. Debajo del nombre del repositorio, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Security" de la barra lateral, haz clic en Advanced Security.

  4. Debajo de "Acceso a las alertas", en el campo de búsqueda, comienza a teclear el nombre de la persona o equipo que quieres encontrar y luego da clic en su nombre dentro de la lista de coincidencias.

  5. Haga clic en Guardar cambios.

Eliminar el acceso a las alertas de seguridad

  1. En GitHub, navegue hasta la página principal del repositorio.

  2. Debajo del nombre del repositorio, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de un encabezado de repositorio en el que se muestran las pestañas. La pestaña "Configuración" está resaltada con un contorno naranja oscuro.

  3. En la sección "Security" de la barra lateral, haz clic en Advanced Security.

  4. En "Acceso a alertas", a la derecha de la persona o equipo cuyo acceso desea quitar, haga clic en .

    Captura de pantalla de la lista de usuarios con acceso a las alertas. A la derecha de @octocat, se destaca un icono x en naranja oscuro.

  5. Haga clic en Guardar cambios.

Información adicional