About custom security configurations
With custom security configurations, you can create collections of enablement settings for GitHub's security products to meet the specific security needs of your organization. For example, you can create a different custom security configuration for each group of repositories to reflect their different levels of visibility, risk tolerance, and impact.
When creating a security configuration, keep in mind that:
- Only features installed by a site administrator on your GitHub Enterprise Server instance will appear in the UI.
- GitHub Advanced Security features will only be visible if your organization or GitHub Enterprise Server instance holds a GitHub Advanced Security license.
- Certain features, like Dependabot security updates and code scanning default setup, also require that GitHub Actions is installed on the GitHub Enterprise Server instance.
Creating a custom security configuration
Note
The enablement status of some security features is dependent on other, higher-level security features. For example, disabling alertas de examen de secretos will also disable non-provider patterns and push protection.
-
En la esquina superior derecha de GitHub, seleccione la foto del perfil y haga clic en Sus organizaciones.
-
En el nombre de la organización, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.
-
En la sección "Seguridad" de la barra lateral, seleccione el menú desplegable Seguridad del código y, a continuación, haga clic en Configuraciones.
-
In the "Code security configurations" section, click New configuration.
-
To help identify your custom security configuration and clarify its purpose on the "Code security configurations" page, name your configuration and create a description.
-
In the "GitHub Advanced Security features" row, choose whether to include or exclude GitHub Advanced Security (GHAS) features. If you plan to apply a custom security configuration with GHAS features to private repositories, you must have available GHAS licenses for each active unique committer to those repositories, or the features will not be enabled. See "Acerca de la facturación de GitHub Advanced Security."
-
In the "Dependency graph and Dependabot" section of the security settings table, choose whether you want to enable, disable, or keep the existing settings for the following security features:
- Dependabot alerts. To learn about Dependabot, see "Acerca de las alertas Dependabot."
- Security updates. To learn about security updates, see "Sobre las actualizaciones de seguridad de Dependabot."
Note
You cannot manually change the enablement setting for the dependency graph. This setting is installed and managed by a site administrator at the instance level.
-
In the "Code scanning" section of the security settings table, choose whether you want to enable, disable, or keep the existing settings for code scanning default setup. To learn about default setup, see "Establecimiento de la configuración predeterminada para el examen del código."
-
In the "Secret scanning" section of the security settings table, choose whether you want to enable, disable, or keep the existing settings for the following security features:
- Alerts. To learn about alertas de examen de secretos, see "Acerca del examen de secretos."
- Non-provider patterns. To learn more about scanning for non-provider patterns, see "Patrones de examen de secretos admitidos" and "Visualización y filtrado de alertas de análisis de secretos."
- Push protection. To learn about push protection, see "Acerca de la protección de inserción."
-
Optionally, in the "Policy" section, you can choose to automatically apply the security configuration to newly created repositories depending on their visibility. Select the None dropdown menu, then click Public, or Private and internal, or All repositories.
Nota: El security configuration predeterminado para una organización solo se aplica automáticamente a nuevos repositorios creados en su organización. Si un repositorio se transfiere a su organización, deberá aplicar manualmente un security configuration adecuado al repositorio.
-
Optionally, in the "Policy" section, you can enforce the configuration and block repository owners from changing features that are enabled or disabled by the configuration (features that are not set aren't enforced). Next to "Enforce configuration", select Enforce from the dropdown menu.
Note
Si un usuario de la organización intenta cambiar el estado de habilitación de una característica en una configuración aplicada mediante la API REST, la llamada a la API aparecerá correctamente, pero no cambiarán los estados de habilitación.
Algunas situaciones pueden interrumpir la aplicación de security configurations para un repositorio. Por ejemplo, la habilitación de code scanning no se aplicará a un repositorio si:
- GitHub Actions está habilitado inicialmente en el repositorio, pero luego se deshabilita en el repositorio.
- Los GitHub Actions requeridos por code scanning no están disponibles en el repositorio.
- Los ejecutores autohospedados con la etiqueta
code-scanning
no están disponibles. - Se cambia la definición para la que no se deben analizar los idiomas mediante la configuración predeterminada code scanning.
-
To finish creating your custom security configuration, click Save configuration.
Next steps
To apply your custom security configuration to repositories in your organization, see "Aplicación de una configuración de seguridad personalizada."
Para obtener información sobre cómo editar custom security configuration, consulte "Edición de una configuración de seguridad personalizada".