Creación de una configuración de seguridad personalizada

Acerca de custom security configurations

Con custom security configurations, puede crear colecciones de opciones de configuración de habilitación para GitHublos productos de seguridad para satisfacer las necesidades de seguridad específicas de su organización. Por ejemplo, puede crear otro custom security configuration para cada organización o grupo de organizaciones para reflejar sus requisitos de seguridad únicos y obligaciones de cumplimiento.

Al crear una configuración de seguridad, tenga en cuenta que:

• Solo aparecerán las funciones instaladas en GitHub Enterprise Server la instancia por un administrador de sitio en la interfaz de usuario.

•         GitHub Advanced Security solo estarán visibles si su organización o GitHub Enterprise Server instancia tiene una GitHub Advanced Security licencia.
  

• Algunas características, como Dependabot security updates y code scanning la configuración predeterminada, también requieren que GitHub Actions esté instalada en la GitHub Enterprise Server instancia.

Creación de un custom security configuration

1. En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.

2. Debajo del nombre de la organización, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

   

3. En la sección "Seguridad" de la barra lateral, seleccione el menú desplegable Code security, y luego haga clic en Configuraciones.

4. En la sección "Configuraciones de seguridad de código", haga clic en Nueva configuración.

5. Para ayudar a identificar custom security configuration y aclarar su propósito en la página "Código security configurations", asigne un nombre a la configuración y cree una descripción.

6. En la fila "GitHub Advanced Security características", elija si quiere incluir o excluir las funciones de GitHub Advanced Security (GHAS). Si tiene previsto aplicar un custom security configuration con características de GHAS a los repositorios, debe tener licencias de GHAS disponibles para cada confirmador único activo en esos repositorios, o las características no se habilitarán. Consulta Facturación de licencias de GitHub Advanced Security.

7. En la sección "Gráfico de dependencias y Dependabot" de la tabla de configuración de seguridad, elija si desea habilitar, deshabilitar o mantener la configuración existente para las siguientes características de seguridad: * Dependabot alerts. Para más información sobre Dependabot, consulte Acerca de las alertas Dependabot.

   • Actualizaciones de seguridad. Para obtener información sobre las actualizaciones de seguridad, consulta Sobre las actualizaciones de seguridad de Dependabot.

   Nota:

   No se puede cambiar manualmente la configuración de habilitación del gráfico de dependencias. El administrador del sitio instala y administra este valor a nivel de instancia.

8. En la sección "Code scanning" de la tabla de configuración de seguridad, elija si desea habilitar, deshabilitar o mantener la configuración existente para code scanning la configuración predeterminada. Para obtener información sobre la configuración predeterminada, consulte Establecimiento de la configuración predeterminada para el examen del código.

9. En la sección "Secret scanning" de la tabla de configuración de seguridad, elija si desea habilitar, deshabilitar o mantener la configuración existente para las siguientes características de seguridad:

   • Alertas. Para más información sobre alertas de detección de secretos, consulte Acerca del examen de secretos.
   • Patrones no relacionados con proveedores. Para obtener más información sobre el examen de patrones que no son de proveedor, consulte Patrones de análisis de secretos admitidos y Visualización y filtrado de alertas del análisis de secretos.
   • Protección contra el envío de cambios. Para obtener más información sobre la protección de inserción, consulta Acerca de la protección de inserción.

10. Opcionalmente, en "Protección de inserción", elija si desea conceder privilegios de omisión o exenciones para los actores seleccionados de su organización. Al asignar privilegios de omisión, los miembros de la organización seleccionados pueden omitir la protección de inserción y hay un proceso de revisión y aprobación para todos los demás colaboradores. Para obtener más instrucciones sobre cómo definir esta configuración, consulte Habilitación de la omisión delegada para la protección de inserción.

11. Opcionalmente, en la sección "Directiva", puede elegir aplicar automáticamente el security configuration a los repositorios recién creados según su visibilidad. Seleccione el menú desplegable Ninguno y, a continuación, haga clic en Público, Privado e interno o En todos los repositorios.

    Nota:

    La security configuration predeterminada para una organización solo se aplica automáticamente a los nuevos repositorios creados en tu organización. Si un repositorio se transfiere a su organización, deberá aplicar manualmente un security configuration adecuado al repositorio.

12. Opcionalmente, en la sección "Directiva", puede aplicar la configuración y bloquear a los propietarios del repositorio para que no puedan cambiar las características habilitadas o inhabilitadas por la configuración (las características que no están establecidas no se aplican). Junto a "Aplicar configuración", seleccione Aplicar en el menú desplegable.

    Nota:

    Algunas situaciones pueden interrumpir la aplicación de security configurations. Consulta Cumplimiento de la configuración de seguridad.

13. Para terminar de crear su custom security configuration, haga clic en Guardar configuración.

Pasos siguientes

Para aplicar su custom security configuration a los repositorios de su organización, consulte Aplicación de una configuración de seguridad personalizada.

Para obtener información sobre cómo editar tu custom security configuration, consulta Edición de una configuración de seguridad personalizada.