Acerca de custom security configurations
Se recomienda proteger la empresa con la GitHub-recommended security configuration y después evaluar los resultados de seguridad en los repositorios antes de configurar custom security configurations. Para más información, consulta Aplicación de la configuración de seguridad recomendada por GitHub en tu empresa.
Con custom security configurations, puedes crear colecciones de opciones de configuración de habilitación para los productos de seguridad de GitHub para satisfacer las necesidades de seguridad específicas de la empresa. Por ejemplo, puedes crear un custom security configuration para cada organización o grupo de organizaciones para reflejar sus requisitos de seguridad únicos y obligaciones de cumplimiento.
También puedes elegir si desea incluir o no las características de GitHub Code Security o GitHub Secret Protection en una configuración.
Si lo haces, ten en cuenta que estas características incurren en costos de uso (o requieren licencias de GitHub Advanced Security) cuando se aplican a repositorios privados e internos. Para más información, consulta Acerca de GitHub Advanced Security.
Cómo crear una custom security configuration
Note
El estado de habilitación de algunas características de seguridad depende de otras características de seguridad de nivel superior. Por ejemplo, al desactivar el gráfico de dependencias también se desactivará el envío automático de dependencias, Dependabot alerts, el análisis de exposición a vulnerabilidades y las actualizaciones de seguridad.
-
En la esquina superior derecha de GitHub, haz clic en la fotografía del perfil.
-
En función de tu entorno, haz clic en Your enterpriseo en Your enterprises y, a continuación, haz clic en la empresa que deseas ver.
-
En la parte superior de la página, haga clic en Settings.
-
En la barra lateral izquierda, haz clic en Advanced Security.
-
En la sección "Configuraciones", haz clic en Nueva configuración.
-
Para ayudar a identificar tu custom security configuration y clarificar tu finalidad en la página "Código security configurations", asigna un nombre a la configuración y crea una descripción.
-
Opcionalmente, habilita "Secret Protection", una característica de pago para repositorios privados e internos . Al habilitar Secret Protection se habilitan alertas para secret scanning. Además, puedes elegir si deseas habilitar, deshabilitar o mantener la configuración existente para las siguientes características de secret scanning:
- Comprobaciones de validez. Para obtener más información sobre las comprobaciones de validez de los patrones de asociados, consulta Evaluación de alertas del examen de secretos
- Patrones que no son de proveedor. Para obtener más información sobre el examen de patrones que no son de proveedor, consulta Patrones de examen de secretos admitidos y Visualización y filtrado de alertas de análisis de secretos.
- Busca contraseñas genéricas. Para obtener más información, consulta Detección responsable de secretos genéricos con el análisis de secretos de Copilot.
- Protección contra el envío de cambios. Para obtener información sobre la protección de inserción, consulta Acerca de la protección de inserción.
- Evitar descarte directo de alertas. Para obtener más información, consulta Habilitación del descarte de alertas delegado para el análisis de secretos.
-
Opcionalmente, habilita "Code Security", una característica de pago para repositorios privados e internos. Puedes elegir si quieres habilitar, deshabilitar o mantener la configuración existente para las siguientes características de code scanning:
- Configuración predeterminada. Consulta Establecimiento de la configuración predeterminada para el examen del código para obtener más información.
- Tipo de ejecutor. Si deseas dirigirte a ejecutores específicos para code scanning, puedes elegir usar ejecutores etiquetados personalizados en este paso. Consulta Establecimiento de la configuración predeterminada para el examen del código.
- Evitar descarte directo de alertas. Para obtener más información, consulta Habilitación del descarte de alertas delegado para el escaneo de código.
-
Todavía en "Code Security", en la tabla "Análisis de dependencias", elige si deseas habilitar, deshabilitar o mantener la configuración existente para las siguientes características de análisis de dependencias:
- Gráfica de dependencias. Para obtener información sobre el gráfico de dependencias, consulta Acerca del gráfico de dependencias.
Tip
Cuando "Code Security" y el gráfico de dependencias están habilitados, esto habilita la revisión de dependencias, consulta Acerca de la revisión de dependencias.
- Envío automático de dependencias. Para obtener información sobre el envío automático de dependencias, consulta Configuración del envío automático de dependencias para el repositorio.
- Alertas de Dependabot. Para más información sobre Dependabot, consulta Acerca de las alertas Dependabot.
- Actualizaciones de seguridad. Para obtener información sobre las actualizaciones de seguridad, consulta Sobre las actualizaciones de seguridad de Dependabot.
- Gráfica de dependencias. Para obtener información sobre el gráfico de dependencias, consulta Acerca del gráfico de dependencias.
-
En "Informes de vulnerabilidades privadas", elige si deseas habilitar, deshabilitar o mantener la configuración existente. Para obtener más información sobre los informes de vulnerabilidades privadas, consulta Configuración de informes de vulnerabilidades privadas para un repositorio.
-
Opcionalmente, en la sección "Directiva", puedes usar opciones adicionales para controlar cómo se aplica la configuración:
-
Usar como valor predeterminado para los repositorios recién creados. Selecciona el menú desplegable None y, a continuación, haz clic en Public, Private and internal o All repositories.
-
Aplicar la configuración. Bloquearás a los propietarios del repositorio para que no puedan cambiar las características habilitadas o inhabilitadas por la configuración, pero las características que no están establecidas no se aplican. Selecciona Aplicar en el menú desplegable.
Note
La security configuration predeterminada para una organización solo se aplica automáticamente a los nuevos repositorios creados en tu organización. Si un repositorio se transfiere a su organización, deberá aplicar manualmente un security configuration adecuado al repositorio.
-
-
Para terminar de crear su custom security configuration, haga clic en Guardar configuración.
Note
Si un usuario de la empresa intenta cambiar el estado de habilitación de una característica en una configuración aplicada mediante la API de REST, la llamada a la API aparecerá correctamente, pero no cambiarán los estados de habilitación.
Algunas situaciones pueden interrumpir la aplicación de security configurations para un repositorio. Por ejemplo, la habilitación de code scanning no se aplicará a un repositorio si:
- GitHub Actions está habilitado inicialmente en el repositorio, pero luego se deshabilita en el repositorio.
- Los GitHub Actions requeridos por code scanning no están disponibles en el repositorio.
- Se cambia la definición para la que no se deben analizar los idiomas mediante la configuración predeterminada code scanning.
Pasos siguientes
Para configurar opcionalmente parámetros adicionales secret scanning para la empresa, consulta Configuración de opciones adicionales de examen de secretos para tu empresa.
Para aplicar su custom security configuration a los repositorios de su organización, consulta Aplicación de una configuración de seguridad personalizada.
Para obtener información sobre cómo editar tu custom security configuration, consulta Edición de una configuración de seguridad personalizada.