Inicio rápido para proteger el repositorio

Administre el acceso al código. Busque y corrija el código vulnerable y las dependencias automáticamente.

¿Quién puede utilizar esta característica?

Propietarios de repositorios, propietarios de organizaciones, administradores de seguridad y usuarios con el rol de administrador

En este artículo

Presentación

Esta guía te muestra cómo configurar las características de seguridad para un repositorio.

Tus necesidades de seguridad son únicas de tu repositorio, así que puede que no necesites habilitar todas las características de seguridad para este. Para más información, consulta Características de seguridad de GitHub.

Algunas características están disponibles para todos los repositorios. Hay características adicionales disponibles para organizaciones y empresas que usan GitHub Advanced Security. Para más información, consulta Acerca de GitHub Advanced Security.

Administrar el acceso a tu repositorio

El primer paso para asegurar un repositorio es establecer quién puede ver y modificar tu código. Para más información, consulta Administración de la configuración y las características del repositorio.

En la página principal del repositorio, haga clic en Configuración y desplácese hacia abajo hasta la "Zona de peligro".

Administrar la gráfica de dependencias

Los propietarios de la empresa pueden configurar el gráfico de dependencias y las Dependabot alerts para una empresa. Para más información, consulta Habilitación del gráfico de dependencias para la empresa y Habilitación de Dependabot para la empresa.

Para más información, consulta Explorar las dependencias de un repositorio.

Administración Dependabot alerts

          Dependabot alerts se generan cuando GitHub identifica una dependencia en el gráfico de dependencias con una vulnerabilidad.

Además, puedes usar las reglas de alerta de Dependabot para evaluar automáticamente las alertas, por lo que puede ignorar automáticamente las alertas y especificar para qué alertas quieres que Dependabot abra solicitudes de cambios. Para obtener información sobre los distintos tipos de reglas de evaluación de prioridades automáticas y si los repositorios son aptos, consulta Acerca de Evaluación de prioridades automática de Dependabot.

Para obtener información general sobre las diferentes características que ofrece Dependabot e instrucciones sobre cómo empezar, consulta Guía de inicio rápido de Dependabot.

Los propietarios de la empresa deben configurar el gráfico de dependencias y las Dependabot alerts para una empresa.

Una vez configuradas las Dependabot alerts, los administradores de repositorios y los propietarios de la organización pueden habilitar Dependabot alerts para repositorios privados e internos en su página de configuración "Code security". Los repositorios públicos están habilitados de forma predeterminada. Para más información, consulta Habilitación del gráfico de dependencias para la empresa, Habilitación de Dependabot para la empresa y Configuración de alertas de Dependabot.

Para obtener más información, consulte Acerca de las alertas Dependabot.

Administrar la revisión de dependencias

La revisión de dependencias te permite visualizar los cambios a las dependencias en las solicitudes de cambios antes de que se fusionen con tus repositorios. Para más información, consulta Acerca de la revisión de dependencias.

La revisión de dependencias es una GitHub Advanced Security funcionalidad.

Para habilitar la revisión de dependencias de un repositorio, asegúrese de que el gráfico de dependencias está habilitado.

  1. En la página principal del repositorio, haga clic en Configuración.
  2. Haga clic en Code security.
  3. Compruebe que el gráfico de dependencias está configurado para su empresa.

Administración Dependabot security updates

Para cualquier repositorio que use Dependabot alerts, puede habilitar Dependabot security updates para generar solicitudes de incorporación de cambios con actualizaciones de seguridad cuando se detectan vulnerabilidades.

  1. En la página principal del repositorio, haga clic en Configuración.
  2. Haga clic en Code security.
  3. Junto a Dependabot security updates, haga clic en Habilitar.

Para más información, consulta Sobre las actualizaciones de seguridad de Dependabot y Configuración de actualizaciones de seguridad de Dependabot.

Administración Dependabot version updates

Puede habilitar Dependabot para generar automáticamente pull requests para mantener las dependencias actualizadas. Para más información, consulta Acerca de las actualizaciones a la versión del Dependabot.

Para habilitar Dependabot version updates, debe crear un dependabot.yml archivo de configuración. Para más información, consulta Configuración de las actualizaciones de versiones de Dependabot.

Configuración code scanning

Puede configurar code scanning para identificar automáticamente vulnerabilidades y errores en el código almacenado en su repositorio mediante un Flujo de trabajo de análisis de CodeQL o una herramienta de terceros. En función de los lenguajes de programación de su repositorio, puede configurar code scanning con CodeQL usando la configuración predeterminada, en la cual GitHub determina automáticamente los lenguajes que se van a analizar, las suites de consultas que se van a ejecutar y los eventos que desencadenarán un nuevo análisis. Para más información, consulta Establecimiento de la configuración predeterminada para el examen del código.

  1. En la página principal del repositorio, haga clic en Configuración.
  2. En la sección "Seguridad" de la barra lateral, haga clic en Code security.
  3. En la sección "Code scanning", seleccione Configurar y, a continuación, haga clic en Predeterminado.
  4. En la ventana emergente que aparece, revise la configuración predeterminada del repositorio y, a continuación, haga clic en Habilitar CodeQL.

Como alternativa a la configuración predeterminada, puede usar la configuración avanzada, que genera un archivo de flujo de trabajo que puede editar para personalizar code scanning con CodeQL. Para más información, consulta Establecimiento de la configuración avanzada para el examen del código.

Configuración secret scanning

  1. En la página principal del repositorio, haga clic en Configuración.
  2. Haga clic en Code security.
  3. Si "Advanced Security" o "GitHub Advanced Security" aún no está habilitado, haga clic en Habilitar.
  4. Si se muestra la opción "Secret scanning", haga clic en Habilitar.

Configurar una política de seguridad

Si eres un mantenedor de repositorios, se recomienda especificar una directiva de seguridad para el repositorio mediante la creación de un archivo denominado SECURITY.md en el repositorio. Este archivo indica a los usuarios la mejor forma de ponerse en contacto y colaborar contigo cuando quieran notificar vulnerabilidades de seguridad en el repositorio. Puede ver la directiva de seguridad de un repositorio desde la pestaña del Security repositorio.

  1. En la página principal del repositorio, haga clic en Security.
  2. En la barra lateral izquierda, en "Informes", haga clic en Directiva.
  3. Haga clic en Iniciar configuración.
  4. Agrega información sobre las versiones compatibles con tu proyecto y de cómo reportar las vulnerabilidades.

Para más información, consulta Agregar una política de seguridad a tu repositorio.

Pasos siguientes

Puedes ver y administrar las alertas de las características de seguridad para abordar dependencias y vulnerabilidades en tu código. Para más información, consulta Visualización y actualización de alertas de Dependabot, Administrar las solicitudes de extracción para las actualizaciones de dependencia, Evaluación de alertas de análisis de código para el repositorio y Administración de alertas de examen de secretos.

También puede usar GitHub herramientas para auditar las respuestas a las alertas de seguridad. Para más información, consulta Auditoría de alertas de seguridad.

Si usa GitHub Actions, puede usar las características de seguridad de GitHub que puede usar para aumentar la seguridad de los flujos de trabajo. Para más información, consulta Referencia de uso seguro.