Acerca de custom security configurations
Se recomienda proteger la empresa con la GitHub-recommended security configuration y después evaluar los resultados de seguridad en los repositorios antes de configurar custom security configurations. Para más información, consulta Aplicación de la configuración de seguridad recomendada por GitHub en tu empresa.
Con custom security configurations, puedes crear colecciones de opciones de configuración de habilitación para los productos de seguridad de GitHub para satisfacer las necesidades de seguridad específicas de la empresa. Por ejemplo, puedes crear un custom security configuration para cada organización o grupo de organizaciones para reflejar sus requisitos de seguridad únicos y obligaciones de cumplimiento.
Cómo crear una custom security configuration
Note
El estado de habilitación de algunas características de seguridad depende de otras características de seguridad de nivel superior. Por ejemplo, al desactivar el gráfico de dependencias también se desactivará el envío automático de dependencias, Dependabot alerts, el análisis de exposición a vulnerabilidades y las actualizaciones de seguridad.
-
En la esquina superior derecha de GitHub, haz clic en la fotografía del perfil.
-
En función de tu entorno, haz clic en Your enterpriseo en Your enterprises y, a continuación, haz clic en la empresa que deseas ver.
-
En el lado izquierdo de la página, en la barra lateral de la cuenta de empresa, haz clic en Configuración.
-
En la barra lateral izquierda, haz clic en Seguridad de código.
-
En la sección "Configuraciones", haz clic en Nueva configuración.
-
Para ayudar a identificar tu custom security configuration y clarificar tu finalidad en la página "Código security configurations", asigna un nombre a la configuración y crea una descripción.
-
En la fila "Características de GitHub Advanced Security", elija si quiere incluir o excluir características de GitHub Advanced Security (GHAS). Si tiene previsto aplicar una custom security configuration con características de GHAS a repositorios privados, debe contar con licencias de GHAS disponibles para cada confirmador único activo en esos repositorios o las características no se habilitarán. Consulta Acerca de la facturación de GitHub Advanced Security.
-
En la sección "Gráfico de dependencias y Dependabot" de la tabla de configuración de seguridad, elige si quieres habilitar, deshabilitar o mantener la configuración existente para las siguientes características de seguridad:
-
Gráfica de dependencias. Para obtener información sobre el gráfico de dependencias, consulta Acerca del gráfico de dependencias.
-
Envío automático de dependencias. Para obtener información sobre el envío automático de dependencias, consulta Configuración del envío automático de dependencias para el repositorio.
-
Dependabot alerts. Para más información sobre Dependabot alerts, consulta Acerca de las alertas Dependabot.
-
Actualizaciones de seguridad. Para obtener información sobre las actualizaciones de seguridad, consulta Sobre las actualizaciones de seguridad de Dependabot.
Note
No puedes cambiar manualmente la configuración de habilitación de las llamadas de función vulnerables. Si las características de GitHub Advanced Security y Dependabot alerts están habilitadas, también se habilitan las llamadas a funciones vulnerables. De lo contrario, estarán deshabilitadas.
-
-
En la sección "Code scanning" de la tabla de configuración de seguridad, elija si desea habilitar, deshabilitar o mantener los ajustes existentes correspondientes a la configuración predeterminada de code scanning. Para obtener información sobre la configuración predeterminada, consulta Establecimiento de la configuración predeterminada para el examen del código.
-
En la sección "Secret scanning" de la tabla de configuración de seguridad, elija si desea habilitar, deshabilitar o mantener la configuración existente para las siguientes características de seguridad:
- Alertas. Para obtener información sobre secret scanning, consulta Acerca del examen de secretos.
- Patrones que no son de proveedor. Para más información sobre la detección de patrones que no son de proveedores, consulta Patrones de examen de secretos admitidos y Visualización y filtrado de alertas de análisis de secretos.
- Protección contra el envío de cambios. Para obtener más información sobre la protección de inserción, consulta Acerca de la protección de inserción.
-
En la sección "Informes de vulnerabilidades privados" de la tabla de configuración de seguridad, elija si desea habilitar, deshabilitar o mantener la configuración existente para los informes de vulnerabilidades privados. Para obtener más información sobre los informes de vulnerabilidades privadas, consulta Configuración de informes de vulnerabilidades privadas para un repositorio.
-
Opcionalmente, en la sección “Directiva”, puede optar por aplicar automáticamente el security configuration a los repositorios recién creados en función de su visibilidad. Selecciona el menú desplegable None y, a continuación, haz clic en Public, Private and internal o All repositories.
-
Opcionalmente, en la sección "Directiva", puede aplicar la configuración y bloquear a los propietarios del repositorio para que no puedan cambiar las características habilitadas o inhabilitadas por la configuración (las características que no están establecidas no se aplican). Junto a "Aplicar configuración", seleccione Aplicar en el menú desplegable.
Note
Si un usuario de la empresa intenta cambiar el estado de habilitación de una característica en una configuración aplicada mediante la API de REST, la llamada a la API aparecerá correctamente, pero no cambiarán los estados de habilitación.
Algunas situaciones pueden interrumpir la aplicación de security configurations para un repositorio. Por ejemplo, la habilitación de code scanning no se aplicará a un repositorio si:
- GitHub Actions está habilitado inicialmente en el repositorio, pero luego se deshabilita en el repositorio.
- Los GitHub Actions requeridos por code scanning no están disponibles en el repositorio.
- Se cambia la definición para la que no se deben analizar los idiomas mediante la configuración predeterminada code scanning.
-
Para terminar de crear su custom security configuration, haga clic en Guardar configuración.
Pasos siguientes
Para configurar opcionalmente parámetros adicionales secret scanning para la empresa, consulta Configuración de opciones adicionales de examen de secretos para tu empresa.
Para aplicar su custom security configuration a los repositorios de su organización, consulta Aplicación de una configuración de seguridad personalizada.
Para obtener información sobre cómo editar custom security configuration, consulte "Edición de una configuración de seguridad personalizada".