Administración de la configuración de seguridad y análisis para el repositorio

Puedes controlar las características que dan seguridad y analizan tu código en tu proyecto dentro de GitHub.

¿Quién puede utilizar esta característica?

People with admin permissions to a repository can manage security and analysis settings for the repository.

En este artículo

Acerca de la configuración de seguridad y análisis para el repositorio

GitHub ofrece una serie de características de seguridad diferentes que puedes habilitar para el repositorio a fin de proteger el código frente a vulnerabilidades, el acceso no autorizado y otras posibles amenazas de seguridad. Muchas de estas características están disponibles gratis para repositorios públicos.

Habilitar o inhabilitar las características de análisis y seguridad para los repositorios públicos

Puedes administrar un subconjunto de características de análisis y seguridad para los repositorios públicos.

Como mínimo, debes habilitar lo siguiente para el repositorio público:

Dependabot alerts te notifica sobre las vulnerabilidades de seguridad en la red de dependencias del proyecto para que puedas actualizar la dependencia afectada a una versión más segura.
Secret scanning examina el repositorio en busca de secretos (como claves de API y tokens) y te avisa si se encuentra un secreto para que puedas quitarlo del repositorio.
La protección contra el envío de cambios impide que tú (y tus colaboradores) introduzcáis secretos en el repositorio en primer lugar, para lo cual bloquea los envíos de cambios que contienen secretos admitidos.
Code scanning identifica vulnerabilidades y errores en el código del repositorio para que puedas corregir estos problemas antes y evitar que los actores malintencionados aprovechen una vulnerabilidad o un error.

Otras características están habilitadas permanentemente para repositorios públicos, como el gráfico de dependencias, que muestra todas las bibliotecas y paquetes de los que depende el repositorio.

En GitHub, navegue hasta la página principal del repositorio.
En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.
En la sección "Security" de la barra lateral, haz clic en Code security.
En "Code security", a la derecha de la característica, haz clic en Disable o Enable.

Habilitación o deshabilitación de las características de seguridad y análisis para repositorios privados

Puedes administrar las características de seguridad y análisis para tu repositorioprivado o interno . Las organizaciones que usan GitHub Enterprise Cloud con Advanced Security disponen de opciones adicionales. Para más información, vea la documentación de GitHub Enterprise Cloud.

Si habilita las características de seguridad y análisis, GitHub realiza un análisis de solo lectura en el repositorio.

En GitHub, navegue hasta la página principal del repositorio.
En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.
En la sección "Security" de la barra lateral, haz clic en Code security.
En "Code security", a la derecha de la característica, haz clic en Disable o Enable.

Concesión de acceso a alertas de seguridad

Las alertas de seguridad de GitHub son notificaciones automatizadas que te informan cuando se encuentran vulnerabilidades en el código o las dependencias del repositorio. Te pedirán que revises y corrijas estos problemas, lo que ayuda a mantener el proyecto seguro.

Puedes encontrar alertas de seguridad de Dependabot, Secret scanning y Code scanning en la pestaña Security del repositorio.

Las alertas de seguridad de un repositorio son visibles para las personas con acceso de escritura, mantenimiento o administración al mismo y, cuando este le pertenece a una organización, también para los propietarios de esta. Puedes otorgar acceso a las alertas a equipos y personas adicionales.

Note

Los propietarios de las organizaciones y los administradores de repositorio solo pueden otorgar acceso para visualizar alertas de seguridad, tales como alertas de examen de secretos, para las personas o equipos que tienen acceso de escritura en el repositorio.

En GitHub, navegue hasta la página principal del repositorio.
En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.
En la sección "Security" de la barra lateral, haz clic en Code security.
Debajo de "Acceso a las alertas", en el campo de búsqueda, comienza a teclear el nombre de la persona o equipo que quieres encontrar y luego da clic en su nombre dentro de la lista de coincidencias.
Haga clic en Guardar cambios.

Eliminar el acceso a las alertas de seguridad

En GitHub, navegue hasta la página principal del repositorio.
En el nombre del repositorio, haz clic en Configuración. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.
En la sección "Security" de la barra lateral, haz clic en Code security.
En "Acceso a las alertas", a la derecha de la persona o equipo para el cual quiere eliminar el acceso, haga clic en .
Haga clic en Guardar cambios.