Aplicación de directivas de seguridad y análisis de código de la empresa

Puedes aplicar directivas para administrar el uso de características de análisis y seguridad de código dentro de las organizaciones que pertenecen a tu empresa.

¿Quién puede utilizar esta característica?

Enterprise owners

GitHub Code Security y GitHub Secret Protection están disponibles para las cuentas de en GitHub Team y para las cuentas de GitHub Enterprise Cloud.

Algunas características también están disponibles de forma gratuita para repositorios públicos en GitHub.com. Para obtener más información, vea planes de GitHub.

Para obtener información sobre GitHub Advanced Security for Azure DevOps, consulta Configuración de GitHub Advanced Security for Azure DevOps en Microsoft Learn.

En este artículo

Acerca de las directivas para usar características de seguridad en tu empresa

Puedes aplicar directivas para administrar el uso de características de seguridad dentro de las organizaciones que pertenecen a tu empresa. Puedes permitir o impedir que los usuarios con acceso de administrador a un repositorio habiliten o deshabiliten las características de seguridad y análisis.

Además, puede aplicar directivas para el uso de GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (versión preliminar pública), or GitHub Advanced Security en las organizaciones y repositorios de la empresa.

Aplicación de una directiva para la disponibilidad de Advanced Security en las organizaciones de la empresa

Se le facturan los GitHub Secret Protection, GitHub Code Security, and GitHub Advanced Security productos por cada confirmación. Consulta GitHub Advanced Security facturación de licencias.

Puede aplicar una directiva que controle si los administradores de repositorios pueden habilitar las características de Advanced Security en los repositorios de una organización. Puedes configurar una política para todas las organizaciones que le pertenezcan a tu cuenta empresarial o para las organizaciones individuales que elijas.

No permitir GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (versión preliminar pública), or GitHub Advanced Security para una organización impide que los administradores de los repositorios habiliten estas funciones en repositorios adicionales, pero no deshabilita las funciones en los repositorios en los que ya están habilitadas.

Nota:

Esta directiva solo afecta a los administradores de repositorios, en concreto. Los propietarios de la organización y los administradores de seguridad siempre pueden habilitar características de seguridad, independientemente de cómo establezcas esta directiva. Para más información, consulta Roles en una organización.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.

  2. En la parte superior de la página, haga clic en Directivas.

  3. En "Directivas", haz clic en Advanced Security Code security.

  4. En la pestaña "Directivas" de la página "Advanced Security", seleccione el menú desplegable y, a continuación, haga clic en una directiva para las organizaciones que pertenecen a su empresa.

  5. Opcionalmente, si elige Permitir para organizaciones seleccionadas, a la derecha de una organización, seleccione el menú desplegable para definir qué Advanced Security productos están disponibles para la organización.

    Captura de pantalla del menú desplegable para elegir una política de Advanced Security para las organizaciones seleccionadas de la empresa. La lista desplegable está delineada.

Nota:

Si GitHub Actions no está disponible para una organización code scanning y GitHub Code Quality no podrá ejecutarse aunque estén disponibles con esta directiva. Consulta Aplicación de directivas para GitHub Actions en la empresa.

Requerir una política para la visibilidad de las perspectivas de dependencias

La información sobre dependencias muestra todos los proyectos de código abierto de los que dependen los repositorios dentro de las organizaciones de su empresa. Las perspectivas de dependencias incluyen información agregada sobre las licencias y asesorías de seguridad. Para más información, consulta Ver información sobre dependencias de su organización.

A lo largo de todas las organizaciones que pertenezcan a tu empresa, puedes controlar si los miembros de dichas organizaciones pueden ver las perspectivas de dependencias. También puedes permitir que los propietarios administren la configuración a nivel organizacional. Para más información, consulta Cambiar la visibilidad de la información sobre las dependencias de la organización.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.

  2. En la parte superior de la página, haga clic en Directivas.

  3. En "Directivas", haz clic en Advanced Security Code security.

  4. En la sección "Directivas", en "Información de dependencia", revisa la información sobre cómo cambiar la configuración.

  5. De manera opcional, para ver la configuración actual en todas las organizaciones de la cuenta de empresa antes de cambiar el valor, haz clic en View your organizations' current configurations.

    Captura de pantalla de una directiva en la configuración de la empresa. Un vínculo con la etiqueta "Ver las configuraciones actuales de las organizaciones" está resaltado.

  6. En "Perspectivas de dependencia", selecciona el menú desplegable y haz clic en una directiva.

Aplicación de una directiva para administrar el uso de Dependabot alerts en su empresa

En todas las organizaciones que pertenecen a su empresa, puede permitir que los miembros con permisos de administrador para los repositorios habiliten o deshabiliten Dependabot alerts y cambien Dependabot alerts la configuración.

Nota:

Esta directiva solo afecta a los administradores de repositorios, en concreto. Los propietarios de la organización y los administradores de seguridad siempre pueden habilitar características de seguridad, independientemente de cómo establezcas esta directiva. Para más información, consulta Roles en una organización.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haga clic en Directivas.
  3. En "Directivas", haz clic en Advanced Security Code security.
  4. En la sección "Directivas", en "Habilitar o deshabilitar Dependabot alerts por administradores del repositorio", use el menú desplegable para elegir una directiva.

Aplicar una directiva para gestionar el uso de las características de Advanced Security en los repositorios de su empresa

En todas las organizaciones de su empresa, puede permitir o impedir que las personas con acceso de administrador a los repositorios gestionen el uso de las funciones de Advanced Security en los repositorios.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haga clic en Directivas.
  3. En "Directivas", haz clic en Advanced Security Code security.
  4. En la sección "Directivas", en "Los administradores del repositorio pueden habilitar o deshabilitar PRODUCT", use el menú desplegable para definir si los administradores del repositorio pueden cambiar la habilitación de GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (versión preliminar pública), or GitHub Advanced Security.

Aplicación de una directiva para administrar el uso de la detección de IA para secret scanning en los repositorios de la empresa

En todas las organizaciones de su empresa, puede permitir o impedir que las personas con acceso de administrador a los repositorios administren y configuren la detección de inteligencia artificial en secret scanning. Esta directiva solo surte efecto si los administradores del repositorio también tienen permiso para cambiar la activación de Secret Protection (según lo controla la directiva "Los administradores del repositorio pueden habilitar o deshabilitar la Protección de secretos").

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haga clic en Directivas.
  3. En "Directivas", haz clic en Advanced Security Code security.
  4. En la sección "Directivas", en "Detección de IA en secret scanning", seleccione el menú desplegable y haga clic en una directiva.

Aplicación de una directiva para administrar el uso de Autofijo de Copilot en los repositorios de la empresa

En todas las organizaciones de la empresa, puede permitir o no permitir que los usuarios con acceso de administrador a los repositorios administren dónde Autofijo de Copilot está habilitado para los Code Security resultados. GitHub Code Security debe estar habilitado para la organización para que esta directiva surta efecto.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haga clic en Directivas.
  3. En "Directivas", haz clic en Advanced Security Code security.
  4. En la sección "Directivas", en "Autofijo de Copilot", seleccione el menú desplegable y haga clic en una directiva.

Nota:

Esta directiva controla el uso de Autofijo de Copilot únicamente en los resultados encontrados por consultas de seguridad de code scanning. Autofijo de Copilot es una parte integral de GitHub Code Quality y no se puede deshabilitar para esa característica.