Inicio rápido para proteger el repositorio

Administre el acceso al código. Busque y corrija el código vulnerable y las dependencias automáticamente.

¿Quién puede utilizar esta característica?

Propietarios de repositorios, propietarios de organizaciones, administradores de seguridad y usuarios con el rol de administrador

En este artículo

Presentación

Esta guía te muestra cómo configurar las características de seguridad para un repositorio.

Tus necesidades de seguridad son únicas de tu repositorio, así que puede que no necesites habilitar todas las características de seguridad para este. Para más información, consulta Características de seguridad de GitHub.

Algunas características están disponibles para los repositorios en todos los planes. Hay características adicionales disponibles para organizaciones y empresas que usan GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security. Las características de GitHub Advanced Security también se habilitan para todos los repositorios públicos de GitHub. Para más información, consulta Acerca de GitHub Advanced Security.

Administrar el acceso a tu repositorio

El primer paso para asegurar un repositorio es establecer quién puede ver y modificar tu código. Para más información, consulta Administración de la configuración y las características del repositorio.

En la página principal del repositorio, haga clic en Configuración y desplácese hacia abajo hasta la "Zona de peligro".

Administrar la gráfica de dependencias

          Los administradores del repositorio pueden habilitar o inhabilitar la gráfica de dependencias para los repositorios. El gráfico de dependencias interpreta los archivos de manifiesto y bloqueo de un repositorio para identificar las dependencias.
  1. En la página principal del repositorio, haga clic en Configuración.
  2. Haga clic en Advanced Security.
  3. Junto al gráfico de dependencias, haga clic en Enable o Disable.

Para más información, consulta Explorar las dependencias de un repositorio.

Administración Dependabot alerts

          Dependabot alerts se generan cuando GitHub identifica una dependencia en el gráfico de dependencias con una vulnerabilidad. 
          Puede habilitar Dependabot alerts para cualquier repositorio.

Además, puedes usar las reglas de alerta de Dependabot para evaluar automáticamente las alertas, por lo que puede ignorar automáticamente las alertas y especificar para qué alertas quieres que Dependabot abra solicitudes de cambios. Para obtener información sobre los distintos tipos de reglas de evaluación de prioridades automáticas y si los repositorios son aptos, consulta Acerca de Evaluación de prioridades automática de Dependabot.

Para obtener información general sobre las diferentes características que ofrece Dependabot e instrucciones sobre cómo empezar, consulta Guía de inicio rápido de Dependabot.

  1. Haz clic en la foto de perfil y luego en Settings.
  2. Haga clic en Advanced Security.
  3. Haga clic en Habilitar junto a Dependabot alerts.

Para obtener más información, consulte Acerca de las alertas Dependabot y Administración de características de seguridad y análisis.

Administrar la revisión de dependencias

La revisión de dependencias te permite visualizar los cambios a las dependencias en las solicitudes de cambios antes de que se fusionen con tus repositorios. Para más información, consulta Acerca de la revisión de dependencias.

La revisión de dependencias es una GitHub Code Security funcionalidad. La revisión de dependencias está habilitada para todos los repositorios con el grafo de dependencias habilitado. Además, las organizaciones que usan GitHub Team o GitHub Enterprise Cloud con GitHub Code Security pueden habilitar la revisión de dependencias para repositorios privados e internos.

Para habilitar la revisión de dependencias de un repositorio, asegúrese de que el gráfico de dependencias está habilitado.

  1. En la página principal del repositorio, haga clic en Configuración.
  2. Haga clic en Advanced Security.
  3. A la derecha de Code Security, haga clic en Habilitar.
  4. En Code Security, compruebe que el gráfico de dependencias está habilitado para el repositorio.

Administración Dependabot security updates

Para cualquier repositorio que use Dependabot alerts, puede habilitar Dependabot security updates para generar solicitudes de incorporación de cambios con actualizaciones de seguridad cuando se detectan vulnerabilidades.

  1. En la página principal del repositorio, haga clic en Configuración.
  2. Haga clic en Advanced Security.
  3. Junto a Dependabot security updates, haga clic en Habilitar.

Para más información, consulta Sobre las actualizaciones de seguridad de Dependabot y Configuración de actualizaciones de seguridad de Dependabot.

Administración Dependabot version updates

Puede habilitar Dependabot para generar automáticamente pull requests para mantener las dependencias actualizadas. Para más información, consulta Acerca de las actualizaciones a la versión del Dependabot.

  1. En la página principal del repositorio, haga clic en Configuración.
  2. Haga clic en Advanced Security.
  3. Junto a Dependabot version updates, haga clic en Habilitar para crear un archivo de configuración básico dependabot.yml .
  4. Especifica las dependencias a actualizar y cualquier opción de configuración asociada, y sube el archivo al repositorio. Para más información, consulta Configuración de las actualizaciones de versiones de Dependabot.

Configuración Code Security

Nota:

          Code Security Las características están disponibles para todos los repositorios públicos y para repositorios privados que pertenecen a organizaciones que forman parte de un equipo o una empresa que usa GitHub Code Security o GitHub Advanced Security.

          GitHub Code Security incluye code scanning, CodeQL CLI y Autofijo de Copilot, así como otras características que buscan y corrigen vulnerabilidades en el código base.

Puede configurar code scanning para identificar automáticamente vulnerabilidades y errores en el código almacenado en su repositorio mediante un Flujo de trabajo de análisis de CodeQL o una herramienta de terceros. En función de los lenguajes de programación de su repositorio, puede configurar code scanning con CodeQL usando la configuración predeterminada, en la cual GitHub determina automáticamente los lenguajes que se van a analizar, las suites de consultas que se van a ejecutar y los eventos que desencadenarán un nuevo análisis. Para más información, consulta Establecimiento de la configuración predeterminada para el examen del código.

  1. En la página principal del repositorio, haga clic en Configuración.
  2. En la sección "Seguridad" de la barra lateral, haga clic en Advanced Security.
  3. Si "Code Security" o "GitHub Advanced Security" aún no está habilitado, haga clic en Habilitar.
  4. A la derecha de "Análisis de CodeQL", seleccione Configurar y, a continuación, haga clic en Predeterminado.
  5. En la ventana emergente que aparece, revise la configuración predeterminada del repositorio y, a continuación, haga clic en Habilitar CodeQL.
  6. Elija si desea habilitar características de adición, como Autofijo de Copilot.

Como alternativa a la configuración predeterminada, puede usar la configuración avanzada, que genera un archivo de flujo de trabajo que puede editar para personalizar code scanning con CodeQL. Para más información, consulta Establecimiento de la configuración avanzada para el examen del código.

Configuración Secret Protection

Nota:

          Secret Protection Las características están disponibles para todos los repositorios públicos y para repositorios privados que pertenecen a organizaciones que forman parte de un equipo o una empresa que usa GitHub Secret Protection o GitHub Advanced Security.

          GitHub Secret Protection incluye secret scanning y protección contra push, así como otras características que le ayudan a detectar y prevenir filtraciones de secretos en el repositorio.
  1. En la página principal del repositorio, haga clic en Configuración.
  2. Haga clic en Advanced Security.
  3. Si "Secret Protection" o "GitHub Advanced Security" aún no está habilitado, haga clic en Habilitar.
  4. Si se muestra la opción "Secret scanning", haga clic en Habilitar.
  5. Elija si desea habilitar funciones adicionales, como la detección de patrones no del proveedor y la protección contra inserciones no deseadas.

Configurar una política de seguridad

Si eres un mantenedor de repositorios, se recomienda especificar una directiva de seguridad para el repositorio mediante la creación de un archivo denominado SECURITY.md en el repositorio. Este archivo indica a los usuarios la mejor forma de ponerse en contacto y colaborar contigo cuando quieran notificar vulnerabilidades de seguridad en el repositorio. Puede ver la directiva de seguridad de un repositorio desde la pestaña del Security and quality repositorio.

  1. En la página principal del repositorio, haga clic en Security and quality.
  2. En la barra lateral izquierda, en "Informes", haga clic en Directiva.
  3. Haga clic en Iniciar configuración.
  4. Agrega información sobre las versiones compatibles con tu proyecto y de cómo reportar las vulnerabilidades.

Para más información, consulta Agregar una política de seguridad a tu repositorio.

Pasos siguientes

Puedes ver y administrar las alertas de las características de seguridad para abordar dependencias y vulnerabilidades en tu código. Para más información, consulta Visualización y actualización de alertas de Dependabot, Administrar las solicitudes de extracción para las actualizaciones de dependencia, Evaluación de alertas de análisis de código para el repositorio y Administración de alertas de examen de secretos.

También puede usar GitHub herramientas para auditar las respuestas a las alertas de seguridad. Para más información, consulta Auditoría de alertas de seguridad.

          Si tiene una vulnerabilidad de seguridad en un repositorio público, puede crear un aviso de seguridad para analizar y corregir la vulnerabilidad de forma privada. Para más información, consulta [AUTOTITLE](/code-security/security-advisories/working-with-repository-security-advisories/about-repository-security-advisories) y [AUTOTITLE](/code-security/security-advisories/working-with-repository-security-advisories/creating-a-repository-security-advisory).

Si usa GitHub Actions, puede usar las características de seguridad de GitHub que puede usar para aumentar la seguridad de los flujos de trabajo. Para más información, consulta Referencia de uso seguro.