Configuración de seguridad global para su organización

Personalice las funciones de Advanced Security para su organización al definir configuraciones globales que garanticen estándares de seguridad coherentes y protejan todos sus repositorios.

¿Quién puede utilizar esta característica?

Propietarios de la organización, administradores de seguridad y miembros de la organización con el rol de administrador

En este artículo

Acceso a la página de global settings de la organización

  1. En la esquina superior derecha de GitHub, haz clic en la foto del perfil y luego en Your organizations.

  2. Debajo del nombre de la organización, haz clic en Settings. Si no puedes ver la pestaña "Configuración", selecciona el menú desplegable y, a continuación, haz clic en Configuración.

    Captura de pantalla de las pestañas en el perfil de una organización. La pestaña "Configuración" se destaca en naranja oscuro.

  3. En la sección "Seguridad" de la barra lateral, seleccione el menú desplegable Advanced Security y haga clic en Global settings.

Configuración global de Dependabot

Puede personalizar varios global settings para Dependabot:

  •           [Creación y administración de Evaluación de prioridades automática de Dependabot](#creating-and-managing-dependabot-auto-triage-rules)

  •           [Agrupación de actualizaciones de seguridad de Dependabot](#grouping-dependabot-security-updates)

  •           [Habilitación de actualizaciones de dependencias en ejecutores de GitHub Actions](#enabling-dependency-updates-on-github-actions-runners)

  •           [Configuración del tipo de ejecutor para Dependabot](#configuring-the-runner-type-for-dependabot)

  •           [Concesión de acceso a Dependabot a repositorios privados](#granting-dependabot-access-to-private-repositories)

Crear y administrar Evaluación de prioridades automática de Dependabot

Puede crear y administrar Evaluación de prioridades automática de Dependabot para indicar a Dependabot que descarte o elimine automáticamente Dependabot alerts e incluso abra solicitudes de incorporación de cambios para intentar resolverlos. Para configurar Evaluación de prioridades automática de Dependabot, haz clic en , y, a continuación, crea o edita una regla:

  • Para crear una nueva regla, haga clic en Nueva regla y escriba los detalles de la regla y haga clic en Crear regla.
  • Para editar una regla existente, haga clic en , realizando los cambios deseados y haciendo clic en Guardar regla.

Para obtener más información sobre Evaluación de prioridades automática de Dependabot, consulte Acerca de Evaluación de prioridades automática de Dependabot y Personalización de reglas de evaluación de prioridades automática para priorizar las alertas de Dependabot.

Agrupación de Dependabot security updates

Dependabot puede agrupar todas las actualizaciones de seguridad sugeridas automáticamente en una única solicitud de incorporación de cambios. Para habilitar las actualizaciones de seguridad agrupadas, seleccione Actualizaciones de seguridad agrupadas. Para obtener más información sobre las actualizaciones agrupadas y las opciones de personalización, consulte Configuración de actualizaciones de seguridad de Dependabot.

Habilitación de actualizaciones de dependencias en ejecutores de GitHub Actions

Si Dependabot y GitHub Actions están habilitados para repositorios existentes de su organización, GitHub usará automáticamente ejecutores hospedados en GitHub para ejecutar actualizaciones de dependencia para esos repositorios.

De lo contrario, para que Dependabot pueda usar los ejecutores de GitHub Actions para realizar actualizaciones de dependencias para todos los repositorios existentes de la organización, seleccione "Dependabot en ejecutores de acciones".

Para más información, consulta Acerca de Dependabot en ejecutores de Acciones de GitHub.

Configuración del tipo de ejecutor para Dependabot

Puede configurar qué tipo de ejecutor Dependabot usa para buscar actualizaciones de versión y seguridad. De forma predeterminada, Dependabot usa los ejecutores estándar hospedados por GitHub. Puede configurar Dependabot para usar ejecutores autohospedados con etiquetas personalizadas, lo que le permite integrarse con la infraestructura de ejecutor existente, como Actions Runner Controller (ARC).

Nota:

  • Por motivos de seguridad, Dependabot usa ejecutores hospedados por GitHub para los repositorios públicos, incluso cuando configura ejecutores etiquetados.
  • Los ejecutores etiquetados no funcionan para repositorios públicos.

Para configurar el tipo de corredor:

  1. En "Dependabot", junto a "Tipo de ejecutor", seleccione .
  2. En el cuadro de diálogo "Editar tipo de ejecutor para Dependabot", seleccione el tipo de ejecutor que desea que Dependabot utilice: 
    •           **Ejecutor estándar de GitHub**.

    •           **Ejecutor etiquetado**: si selecciona esta opción, Dependabot usará ejecutores autohospedados que coincidan con la etiqueta que especifique.
  3. Si seleccionó Ejecutor etiquetado:
    • En "Etiqueta de ejecutor", escriba la etiqueta asignada a los ejecutores autohospedados. Dependabot usará ejecutores con esta etiqueta. De forma predeterminada, se usa la dependabot etiqueta, pero puede especificar una etiqueta personalizada para que coincida con la infraestructura de ejecutor existente.
    • Opcionalmente, en "Nombre del grupo de ejecutores", escriba el nombre de un grupo de ejecutores si desea establecer como destino un grupo específico de ejecutores.
  4. Haga clic en Guardar selección del ejecutor.

Para obtener más información sobre cómo configurar ejecutores autohospedados para Dependabot, consulte Configuración de Dependabot en ejecutores autohospedados.

Conceder acceso a Dependabot a las dependencias privadas

Para actualizar las dependencias privadas de los repositorios de su organización, Dependabot necesita acceso a esos repositorios. Para conceder acceso a Dependabot al , desplácese hacia abajo hasta la sección "Conceder a Dependabot acceso a repositorios privados", use la barra de búsqueda para buscar y seleccionar el repositorio deseado. Tenga en cuenta que conceder acceso a los datos Dependabot a un repositorio significa que todos los usuarios de la organización tendrán acceso al contenido de ese repositorio a través de Dependabot updates. Para obtener más información sobre los ecosistemas compatibles con los repositorios privados, consulte Ecosistemas y repositorios admitidos por Dependabot.

Configuración de code scanning global

Code scanning es una característica que se usa para analizar el código en un repositorio de GitHub para buscar vulnerabilidades de seguridad y errores de código. Los problemas identificados por el análisis se muestran en el repositorio.

Puede personalizar varios global settings para code scanning:

  • Habilitación de Autofijo de Copilot para CodeQL
  •         [Recomendando la suite de consultas extendida para la configuración predeterminada](#recommending-the-extended-query-suite-for-default-setup)

  •           [Expansión del análisis de CodeQL](#expanding-codeql-analysis)

Recomendación del conjunto de consultas extendido para la configuración predeterminada

Code scanning ofrece grupos específicos de consultas CodeQL, denominados conjuntos de consultas CodeQL, para ejecutar en su código. Por defecto, se ejecuta el conjunto de consultas "Valor predeterminado". GitHub también ofrece el conjunto de consultas "Ampliado", que contiene todas las consultas del conjunto de consultas "Valor predeterminado", además de consultas adicionales con menor precisión y gravedad. Para sugerir el conjunto de consultas "Ampliado" en toda la organización, seleccione Recomendar el conjunto de consultas ampliado para repositorios que habilita la configuración predeterminada. Para obtener más información sobre los conjuntos de consultas integrados para la configuración predeterminada de CodeQL, consulte Conjuntos de consultas codeQL.

Habilitación de Autofijo de Copilot para CodeQL

Puede seleccionar Autofijo de Copilot para habilitar Autofijo de Copilot para todos los repositorios de su organización que usan la configuración predeterminada de CodeQL o la configuración avanzada de CodeQL. Autofijo de Copilot es una expansión de code scanning que sugiere correcciones para alertas de code scanning. Para más información, consulta Uso responsable de Copilot Autofix para el análisis de código.

Expansión del análisis de CodeQL

Puede expandir la cobertura de análisis de CodeQL para todos los repositorios de su organización que usan la configuración predeterminada al configurar los paquetes de modelos de CodeQL. Los paquetes de modelos amplían el análisis de CodeQL para reconocer marcos y bibliotecas adicionales que no se incluyen en las bibliotecas estándar CodeQL . Esta configuración global se aplica a los repositorios que usan la configuración predeterminada y permite especificar paquetes de modelos publicados a través del registro de contenedor. Para más información, consulta Editar la configuración predeterminada.

Configuración de secret scanning global

Secret scanning es una herramienta de seguridad que examina todo el historial de Git de los repositorios, así como problemas en esos repositorios, para secretos filtrados que se han confirmado accidentalmente, como tokens o claves privadas.

Puede personalizar varios datos global settings para secret scanning:

  •           [Adición de un vínculo de recurso para confirmaciones bloqueadas](#adding-a-resource-link-for-blocked-commits)

  •         [Definición de patrones personalizados](#defining-custom-patterns)

  •           [Especificación de patrones que se van a incluir en la protección contra el envío de cambios](#specifying-patterns-to-include-in-push-protection)

Para proporcionar contexto a los desarrolladores cuando secret scanning bloquea una confirmación, puede mostrar un vínculo con más información sobre por qué se bloqueó la confirmación. Para incluir un vínculo, seleccione Agregar un vínculo de recurso en la CLI y la interfaz de usuario web cuando se bloquee una confirmación. En el cuadro de texto, escriba el vínculo al recurso deseado y haga clic en Guardar vínculo.

Definición de patrones personalizados

Puedes definir patrones personalizados para secret scanning con expresiones regulares. Definir patrones personalizados sirve para identificar secretos que no detecten los patrones predeterminados que son compatibles con el secret scanning. Para crear un patrón personalizado, haga clic en Nuevo patrón y, a continuación, escriba los detalles del patrón y haga clic en Guardar y realizar una simulación. Para más información sobre los patrones personalizados, consulta Definición de patrones personalizados para el examen de secretos.

Especificación de patrones que se van a incluir en la protección contra el envío de cambios

Nota:

La configuración de patrones para la protección contra el envío de cambios en el nivel de la empresa y la organización se encuentra actualmente en versión preliminar pública y está sujeta a cambios.

Puedes personalizar qué patrones secretos se incluyen en la protección contra el envío de cambios, lo que proporciona a los equipos de seguridad un mayor control sobre qué tipos de secretos se bloquean en los repositorios de tu organización.

  1. En "Additional settings", en la sección "Secret scanning" y a la derecha de "Pattern configurations", haz clic en .
  2. En la página que se muestra, realiza los cambios deseados en la columna "Organization setting".

Para obtener más información sobre cómo leer datos en la página de configuración de patrones secret scanning, vea Datos de configuración del patrón de análisis de secretos.

Creación de gestores de seguridad para su organización

El rol administrador de seguridad concede a los miembros de su organización la capacidad de administrar la configuración de seguridad y las alertas en toda la organización. Los administradores de seguridad pueden ver los datos de todos los repositorios de su organización a través de la información general sobre la seguridad.

Para más información sobre el rol de administrador de seguridad, consulta Gestionar a los administradores de seguridad en tu organización.

Para asignar el rol de administrador de seguridad, consulta Uso de los roles de la organización.