Skip to main content
Publicamos actualizaciones para la documentación con frecuencia y es posible que aún se esté traduciendo esta página. Para obtener la información más reciente, visite la documentación en inglés.
 

 

Asegurar tu repositorio

En este artículo

Puedes utilizar varias características de GitHub para ayudar a mantener tu repositorio seguro.

Who can use this feature

Repository administrators and organization owners can configure repository security settings.

Introducción

Esta guía te muestra cómo configurar las características de seguridad para un repositorio. Debes ser un administrador de repositorio o propietario de organización para configurar las caracteristicas de seguridad de un repositorio.

Tus necesidades de seguridad son únicas de tu repositorio, así que puede que no necesites habilitar todas las características de seguridad para este. Para obtener más información, consulte "Características de seguridad de GitHub".

Algunas características están disponibles para los repositorios en todos los planes. Las características adicionales se encuentran disponibles para las empresas que utilizan la GitHub Advanced Security. Las características de la GitHub Advanced Security también se habilitan para todos los repositorios públicos de GitHub.com. Para más información, consulte "Acerca de GitHub Advanced Security".

Administrar el acceso a tu repositorio

El primer paso para asegurar un repositorio es configurar quién puede ver y modificar tu código. Para obtener más información, consulte "Administración de la configuración de un repositorio".

Desde la página principal del repositorio, haga clic en Settings y, a continuación, desplácese hasta "Danger Zone."

Configurar una política de seguridad

  1. Desde la página principal del repositorio, haga clic en Security.
  2. Haga clic en Security policy.
  3. Haga clic en Iniciar configuración.
  4. Agrega información sobre las versiones compatibles con tu proyecto y de cómo reportar las vulnerabilidades.

Para más información, vea "Adición de una directiva de seguridad al repositorio".

Administrar la gráfica de dependencias

El gráfico de dependencias se genera automáticamente para todos los repositorios públicos, y puede elegir habilitarlo también para los privados. Esta interpreta los archivos de bloqueo y de manifiesto en un repositorio para identificar las dependencias.

  1. Desde la página principal del repositorio, haga clic en Settings.
  2. Haga clic en Security & analysis.
  3. Junto al gráfico de dependencias, haga clic en Enable o Disable.

Para obtener más información, consulte "Exploración de las dependencias de un repositorio".

Administrar las Dependabot alerts

Las Dependabot alerts se generan cuando GitHub identifica una dependencia que presenta una vulnerabilidad en la gráfica de dependencias. Puedes habilitar las Dependabot alerts para cualquier repositorio.

  1. Haga clic en la foto de perfil y, a continuación, en Settings.
  2. Haga clic en Security & analysis.
  3. Haga clic en Enable all junto a Dependabot alerts.

Para obtener más información, consulta "Acerca de Dependabot alerts" y "Administración de la configuración de seguridad y análisis de tu cuenta personal."

Administrar la revisión de dependencias

La revisión de dependencias te permite visualizar los cambios a las dependencias en las solicitudes de cambios antes de que se fusionen con tus repositorios. Para obtener más información, consulte "Acerca de la revisión de dependencias".

La revisión de dependencias es una característica de la GitHub Advanced Security. La revisión de dependencias ya se habilitó en todos los repositorios públicos. Las organizaciones que utilizan GitHub Enterprise Cloud con Advanced Security pueden habilitar la revisión de dependencias para repositorios internos y privados adicionalmente. Para obtener más información, consulte la documentación de GitHub Enterprise Cloud.

Administrar las Dependabot security updates

En el caso de cualquier repositorio que utilice las Dependabot alerts, puedes habilitar las Dependabot security updates para levantar solicitudes de cambio con actualizaciones de seguridad cuando se detectan las vulnerabilidades.

  1. Desde la página principal del repositorio, haga clic en Settings.
  2. Haga clic en Security & analysis.
  3. Junto a Dependabot security updates, haga clic en Enable.

Para obtener más información, consulte "Acerca de Dependabot security updates" y "Configuración de Dependabot security updates."

Administrar las Dependabot version updates

Puedes habilitar el Dependabot para levantar automáticamente las solicitudes de cambios para mantener tus dependencias actualizadas. Para más información, vea "Acerca de Dependabot version updates".

  1. Desde la página principal del repositorio, haga clic en Settings.
  2. Haga clic en Security & analysis.
  3. Junto a Dependabot version updates, haz clic en Habilitar para crear un archivo de configuración dependabot.yml básico.
  4. Especifica las dependencias para actualizar y subir el archivo al repositorio. Para obtener más información, consulta "Configuración de las actualizaciones de versiones de Dependabot".

Configuración de code scanning

Puedes configurar el code scanning para que identifique automáticamente las vulnerabilidades y los errores en el código que se almacena en tu repositorio si utilizas un CodeQL analysis workflow o una herramienta de terceros. Para obtener más información, consulte "Configuración de code scanning para un repositorio".

El Code scanning se encuentra disponible para todos los repositorios públicos y para los privados que pertenezcan a las organizaciones que son parte de una empresa que cuente con licencia para GitHub Advanced Security.

Configurar el secret scanning

El Secret scanning se habilita en todos los repositorios y se encuentra disponible para aquellos privados que pertenezcan a organizaciones que sean parte de una empresa que cuente con una licencia paraGitHub Advanced Security. Para obtener más información, consulte la documentación de GitHub Enterprise Cloud.

Pasos siguientes

Puedes ver y administrar las alertas de las características de seguridad para abordar dependencias y vulnerabilidades en tu código. Para obtener más información, consulta "Visualización y actualización de Dependabot alerts", "Administración de solicitudes de incorporación de cambios para actualizaciones de dependencias", "Administración de code scanning para el repositorio" y "Administración de alertas de secret scanning".

Si tienes una vulnerabilidad de seguridad, puedes crear una asesoría de seguridad para debatir y resolver dicha vulnerabilidad en privado. Para obtener más información, consulta "Acerca de las asesorías de seguridad de repositorio" y "Creación de una asesoría de seguridad".