Creación y administración de campañas de seguridad

Puedes administrar las campañas de seguridad directamente desde la información general sobre seguridad de tu organización.

¿Quién puede utilizar esta característica?

Propietarios de la organización, administradores de seguridad y miembros de la organización con el rol de administrador

Organizaciones en GitHub Team con GitHub Secret Protection or GitHub Code Security habilitado

En este artículo

Nota:

Las campañas para alertas de secret scanning se encuentran actualmente en versión preliminar pública y están sujetas a cambios.

Creación de una campaña de seguridad

Las campañas de seguridad se crean y administran desde la pestaña Seguridad de la organización.

Puede elegir las alertas que desee incluir en la campaña mediante:

  •         **Plantillas de campaña**: contienen filtros para las selecciones de alertas más comunes. Para campañas de código, también incluyen el requisito de que GitHub Copilot Corrección automática sea compatible con todos los tipos de alerta incluidos (es decir, `autofix:supported`).

  •         **Filtros personalizados**: al crear una campaña mediante filtros personalizados puedes definir tus propios criterios a fin de seleccionar alertas para la campaña y te permite adaptarla a las necesidades específicas de tu organización.

Además, puedes usar la API REST para crear e interactuar con campañas de forma más eficaz y a gran escala. Para más información, consulta Puntos de conexión de API REST para campañas de seguridad.

Crear una campaña

  1. En GitHub, navega a la página principal de tu organización.

  2. Debajo del nombre de la organización, haz clic en Security.

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. En la barra lateral de la izquierda, haz clic en Campaigns.

  4. Haz clic en Create campaign y, después, selecciona una de las siguientes opciones:

    • Haz clic en Desde plantilla y, a continuación, selecciona una plantilla de campaña Código o Secretos predefinida de la lista.
    • Haz clic en From code scanning filters o From secret scanning filters y, después, agrega filtros para definir un subconjunto de alertas para la campaña. Consulta Ejemplos de filtros útiles.

  5. Revise el conjunto de alertas que se incluirán en la campaña y ajuste los filtros según sea necesario. Asegúrese de que ha elegido 1000 alertas o menos.

  6. Cuando estés satisfecho con el ámbito de la campaña, haz clic en Save as, elija si quieres crear una campaña de borrador o continúa directamente para finalizar los detalles de la campaña antes de publicarla:

    • Si tienes previsto revisar el ámbito y los detalles de la campaña antes de su lanzamiento, o buscar comentarios sobre la implementación de la campaña, haz clic en Draft campaign.
    • Si piensas publicar la campaña y no necesitas una fase de revisión, haz clic en Publish campaign.

  7. Opcionalmente, si has elegido crear una campaña de borrador, edita, guarda y revisa los detalles de la campaña:

    • Edite los valores "Nombre de la campaña" y "Descripción corta" para que coincidan con las necesidades de su campaña y para vincularlos a cualquier recurso que admita la campaña.
    • Defina una "Fecha de vencimiento de campaña" y seleccione uno o varios "Administradores de campaña" como contactos principales de la misma. Los administradores de campaña deben ser usuarios o equipos que sean propietarios o administradores de seguridad de la organización.
    • Opcionalmente, proporcione un "Vínculo de contacto", por ejemplo, un vínculo a GitHub Discussions u otro canal de comunicación para ponerse en contacto con los administradores de campañas.
    • Haga clic en Guardar borrador.
    • Cuando desee publicar la campaña, en la esquina superior derecha, haga clic en Revisar y publicar.

  8. En la página "Publicar campaña", revise o edite los detalles de la campaña:

    • Nombre de la campaña
    • Descripción breve
    • Fecha de vencimiento
    • Administradores de la campaña
    • Vínculo de contacto

  9. Opcionalmente, para campañas de "Código",para crear propuestas de campaña en cada repositorio incluido en la campaña, en la página Publish campaign", en "Automations", activa la casilla situada junto a "Create issues for NUMBER repositories in this campaign".

  10. Haz clic en Publish campaign.

Se crea la campaña de seguridad y se muestra la página de información general de la campaña.

¿Ha creado una campaña de seguridad para su organización correctamente ?

          <a href="https://docs.github.io/success-test/yes.html" target="_blank" class="btn btn-outline mt-3 mr-3 no-underline">
          <span>Sí</span></a><a href="https://docs.github.io/success-test/no.html" target="_blank" class="btn btn-outline mt-3 mr-3 no-underline"><span>No</span></a>

Ejemplos de filtros útiles

Todos los filtros de plantilla usan is:open para incluir solo las alertas que deben resolverse. Para las alertas de code scanning, también deben estar presentes en la rama predeterminada.

Filtros predeterminados adicionales para las alertas de code scanning:

  •         `autofilter:true` solo incluye alertas que parecen estar en el código de la aplicación. 

  •         `autofix:supported` solo incluye alertas para las reglas admitidas para GitHub Copilot Corrección automática.

Para obtener más información sobre el filtrado de alertas, consulta Ejecución de una campaña de seguridad para corregir alertas a escala y Filtrar alertas en la información general sobre seguridad.

Filtros de alerta Code scanning

Además de los filtros principales, normalmente querrás agregar un filtro para limitar los resultados a un nombre de regla, gravedad o etiqueta específicos.

  •         `is:open autofilter:true autofix:supported rule:java/log-injection` para mostrar solo las alertas de inyección de registro en el código Java. Consulta [AUTOTITLE](/code-security/code-scanning/reference/code-ql-built-in-queries).

  •         `is:open autofilter:true autofix:supported tag:external/cwe/cwe-117` para mostrar solo las alertas de "CWE 117: Improper Output Neutralization for Logs". Esto incluye la inserción de registros en Java y otros idiomas.

  •         `is:open autofilter:true autofix:supported severity:critical` para mostrar solo las alertas con una gravedad de seguridad crítica.

Filtros de alerta de Secret scanning

Además de los filtros principales, normalmente querrás agregar un filtro para limitar los resultados a un proveedor, tipo de secreto o secretos específicos que omitan la protección de inserción (solo cuentas empresariales).

  •         `is:open provider:azure` para mostrar solo las alertas del proveedor de tokens Azure.

  •         `is:open secret-type:azure_ai_services_key,azure_cognitive_services_key` para mostrar solo las alertas de los tokens "azure_ai_services_key" y "azure_cognitive_services_key". Consulta [AUTOTITLE](/code-security/secret-scanning/introduction/supported-secret-scanning-patterns#supported-secrets).

  •         `is:open props.BusinessPriority:Urgent` para mostrar solo las alertas de repositorios donde la propiedad personalizada "BusinessPriority" tiene el valor "Urgente". Consulta [AUTOTITLE](/organizations/managing-organization-settings/managing-custom-properties-for-repositories-in-your-organization).

Lanzamiento de una campaña de seguridad

Al crear una campaña, todas las alertas se envían de forma automática a GitHub Copilot Corrección automática para su procesamiento en función de la capacidad. Esto garantiza que las sugerencias para las alertas que se encuentran en las solicitudes de cambios no se retrasen debido a una nueva campaña. En la mayoría de los casos, lo habitual es que todas las sugerencias que se pueden crear estén listas en un plazo de una hora. En momentos del día con gran actividad o en el caso de alertas especialmente complejas, se tardará más tiempo.

Cómo saben los desarrolladores que se ha iniciado una campaña de seguridad

La nueva campaña se muestra en la barra lateral de la pestaña "Seguridad" de cada repositorio incluido.

  •         **Campañas de código**: se notifica a cualquier persona con acceso de **escritura** a un repositorio incluido en la campaña.

  •         **Campañas de secretos**: se notifica a cualquier persona con acceso para ver la vista de lista de alertas de un repositorio incluido en la campaña.

Sugerencia

Puedes asignar una alerta de campaña a cualquier persona con acceso de escritura al repositorio; consulta Asignación de alertas.

Para obtener más información sobre la experiencia del desarrollador, consulta Corrección de alertas de una campaña de seguridad.

Cómo aumentar la interacción en la campaña de seguridad

La mejor forma de aumentar la interacción en una campaña es publicitarla a los equipos con los que desea colaborar para corregir las alertas. Por ejemplo, puede trabajar con los administradores de ingeniería para elegir un período de desarrollo más tranquilo en el que ejecutar una serie de campañas de seguridad, cada una de ellas centrada en un tipo distinto de alerta, con sesiones de entrenamiento asociadas. Para obtener más ideas, consulte Ejecución de una campaña de seguridad para corregir alertas a escala.

Edición de los detalles de las campañas de seguridad

Puede editar el nombre, la descripción, la fecha de vencimiento y el administrador de una campaña.

  1. En GitHub, navega a la página principal de tu organización.

  2. Debajo del nombre de la organización, haz clic en Security.

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. En la barra lateral de la izquierda, haz clic en Campaigns.

  4. Desde la lista de campañas, haz clic en el nombre de la campaña para mostrar su vista de seguimiento.

  5. En la fila de título de la campaña, haz clic en y selecciona Edit campaign.

  6. En el cuadro de diálogo "Edit campaign" haz los cambios necesarios y, a continuación, haz clic en Save changes.

Los cambios se realizarán inmediatamente.

Cierre, reapertura y eliminación de campañas de seguridad

Hay un límite de 10 campañas activas. Debe cerrar una campaña una vez completada o en caso de que desee pausarla. Puede ver todas las campañas cerradas en la lista de campañas "Cerradas" y volver a abrir una campaña cerrada.

Si no necesita conservar la campaña ni sus datos, puede eliminarla.

Cierre de una campaña

  1. En GitHub, navega a la página principal de tu organización.

  2. Debajo del nombre de la organización, haz clic en Security.

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. En la barra lateral de la izquierda, haz clic en Campaigns.

  4. A la derecha de la campaña que quieras cerrar, haz clic en y después selecciona Close campaign.

Reapertura de una campaña cerrada

  1. En GitHub, navega a la página principal de tu organización.

  2. Debajo del nombre de la organización, haz clic en Security.

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. En la barra lateral de la izquierda, haz clic en Campaigns.

  4. Encima de la lista de campañas, haz clic en Closed para ver la lista de campañas cerradas.

  5. A la derecha de la campaña que quieras volver a abrir, haz clic en y después selecciona Reopen campaign.

Eliminación de una campaña

  1. En GitHub, navega a la página principal de tu organización.

  2. Debajo del nombre de la organización, haz clic en Security.

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. En la barra lateral de la izquierda, haz clic en Campaigns.

  4. A la derecha de la campaña que quieras eliminar, haz clic en y después selecciona Delete campaign.

Pasos siguientes

  •         [AUTOTITLE](/code-security/securing-your-organization/fixing-security-alerts-at-scale/tracking-security-campaigns)