Esta versión de GitHub Enterprise Server se discontinuará el 2026-04-09. No se realizarán lanzamientos de patch, ni siquiera para problemas de seguridad críticos. Para obtener rendimiento mejorado, seguridad mejorada y nuevas características, actualice a la versión más reciente de GitHub Enterprise Server. Para obtener ayuda con la actualización, póngase en contacto con el soporte técnico de GitHub Enterprise.

Fase 2: Prepararse para la habilitación a escala

En esta fase, preparará a los desarrolladores y recopilará datos sobre sus repositorios para asegurarse de que sus equipos estén listos y cuente con todo lo necesario para los programas piloto y la implementación de code scanning y secret scanning.

En este artículo

Sugerencia

Este artículo forma parte de una serie sobre la adopción de GitHub Advanced Security a escala. Para obtener el artículo anterior de esta serie, consulta Fase 1: Alinear la estrategia de lanzamiento y los objetivos.

Preparación para habilitar code scanning

          Code scanning es una característica que se usa para analizar el código en un repositorio de GitHub para buscar vulnerabilidades de seguridad y errores de código. Los problemas identificados por el análisis se muestran en el repositorio. Para obtener más información, consulte [AUTOTITLE](/code-security/code-scanning/introduction-to-code-scanning/about-code-scanning).

El despliegue code scanning en cientos de repositorios puede ser difícil, especialmente cuando se realiza de manera ineficiente. Si sigues estos pasos, te asegurarás de que el lanzamiento sea eficaz y correcto.

Preparación de equipos para code scanning

En primer lugar, prepare sus equipos para usar code scanning. Cuantos más equipos utilicen code scanning, más datos obtendrá para impulsar los planes de corrección y supervisar el progreso en su implementación.

Para obtener una introducción a code scanning, consulte: * Acerca del examen de código * Acerca de las alertas de análisis de código * Evaluación de alertas de análisis de código para el repositorio

Debes centrarte en preparar la mayor cantidad de equipos posible para usar code scanning. También puede animar a los equipos a corregir adecuadamente, pero se recomienda priorizar la habilitación y el uso de code scanning en lugar de solucionar problemas durante esta fase.

Habilitación de code scanning para el aparato

Antes de poder continuar con los programas piloto y desplegar code scanning en toda la empresa, primero debe habilitar code scanning para su dispositivo. Para más información, consulta Configuración la digitalización de código para el dispositivo.

Preparación para habilitar secret scanning

Nota:

Cuando se detecta un secreto en un repositorio que tiene habilitado secret scanning, GitHub avisa a todos los usuarios con acceso a las alertas de seguridad del repositorio.

Si tu proyecto se comunica con un servicio externo, puede que use un token o una clave privada para la autenticación. Si registras un secreto en un repositorio, cualquiera que tenga acceso de lectura al mismo puede utilizarlo para acceder al servicio externo con tus privilegios. Secret scanning examinará todo el historial de Git en todas las ramas presentes en sus repositorios GitHub para detectar secretos y le alertará o bloqueará el empuje que contiene el secreto. Para más información, consulta Acerca del examen de secretos.

Consideraciones al habilitar secret scanning

          secret scanning Habilitar en el nivel organizativo puede ser fácil, pero hacer clic en **Habilitar todo** en el nivel de organización y seleccionar la opción **Habilitar secret scanning automáticamente para cada nuevo repositorio** tiene algunos efectos descendentes que debe tener en cuenta:

Consumo de licencias

Habilitar secret scanning para todos los repositorios maximizará el uso de las GitHub Advanced Security licencias. Esto es correcto si tienes suficientes licencias para los confirmadores actuales en todos esos repositorios. Si es probable que el número de desarrolladores activos aumente en los próximos meses, puede superar el límite de licencias y, a continuación, no podrá usar secret scanning en repositorios recién creados.

Volumen inicial de secretos detectados alto

Si habilita secret scanning en una organización grande, prepárese para ver un gran número de secretos encontrados. A veces esto choca a las organizaciones y saltan todas las alarmas. Si desea activar secret scanning en todos los repositorios a la vez, y planee cómo responderá a múltiples alertas en toda la organización.

          Secret scanning se puede habilitar para repositorios individuales. Para más información, consulta [AUTOTITLE](/code-security/secret-scanning/enabling-secret-scanning-features/enabling-secret-scanning-for-your-repository). 
          Secret scanning También se puede habilitar para todos los repositorios de la organización, como se ha descrito anteriormente. Para obtener más información sobre cómo habilitar esta opción para todos los repositorios, consulte [AUTOTITLE](/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/managing-security-and-analysis-settings-for-your-organization).

Patrones personalizados para secret scanning

          Secret scanning detecta un gran número de patrones predeterminados, pero también se puede configurar para detectar patrones personalizados, como formatos secretos únicos de tu infraestructura o utilizados por integradores que el secret scanning de GitHub actualmente no detecta. Para obtener más información sobre los secretos admitidos para los patrones de partners, consulte [AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns).

A medida que audita los repositorios y habla con los equipos de seguridad y desarrolladores, cree una lista de los tipos de secretos que usará más adelante para configurar patrones personalizados para secret scanning. Para más información, consulta Definición de patrones personalizados para el examen de secretos.

Protección contra empuje para secret scanning

La protección de inserción para organizaciones y repositorios instruye a secret scanning a verificar los secretos admitidos en las inserciones antes de que los secretos se confirmen en el código base. Para obtener más información sobre los secretos que se admiten, consulte Patrones de análisis de secretos admitidos.

Si se detecta un secreto en una inserción, esta se bloquea. Secret scanning enumera los secretos que detecta para que el autor pueda revisar los secretos y quitarlos o, si es necesario, permitir que esos secretos se inserten. Secret scanning también puedes comprobar las inserciones de patrones personalizados.

Los desarrolladores tienen la opción de omitir la protección de inserción notificando que un secreto es un falso positivo, que se usa en las pruebas o que se corregirá más adelante.

Cuando un colaborador omite un bloque de protección de inserción, GitHub:

  • Crea una alerta en la pestaña Seguridad del repositorio, la organización y la empresa.
  • Agrega el evento de omisión al registro de auditoría.
  • Envía una alerta de correo electrónico a los dueños de cuentas personales, organizaciones y empresas, gestores de seguridad y administradores de repositorios que supervisan el repositorio, con un vínculo al secreto y el motivo por el que se permitió.

Antes de habilitar la protección de inserción, plantéate si necesitas crear instrucciones para los equipos de desarrolladores en las condiciones aceptables para omitir la protección de inserción. Puedes configurar un vínculo a este recurso en el mensaje que se muestra cuando un desarrollador intenta insertar un secreto bloqueado.

A continuación, familiarízate con las distintas opciones para administrar y supervisar alertas que son el resultado de un colaborador que omite la protección de inserción.

Para más información, consulta Acerca de la protección de inserción.

Pasos siguientes

Para ver el siguiente artículo de esta serie, consulte Fase 3: Programas piloto.