Características de seguridad de GitHub

Información general sobre las características de seguridad de GitHub.

En este artículo

Acerca de las características de seguridad de GitHub

          GitHubLas características de seguridad ayudan a proteger el código y los secretos en repositorios y en todas las organizaciones.
  • Algunas características están disponibles para todos los GitHub planes.
  • Hay características adicionales disponibles para las empresas que compran GitHub Advanced Security.

Disponible para todos los GitHub planes

Las siguientes características de seguridad están disponibles para usted, independientemente del plan en que esté el GitHub.

Directiva de seguridad

Facilítale a tus usuarios el poder reportar de forma confidencial las vulnerabilidades de seguridad que hayan encontrado en tu repositorio. Para más información, consulta Agregar una política de seguridad a tu repositorio.

Gráfico de dependencias

La gráfica de dependencias te permite explorar los ecosistemas y paquetes de los cuales depende tu repositorio y los repositorios y paquetes que dependen de tu repositorio.

Puede encontrar el gráfico de dependencias en la pestaña Conclusiones del repositorio. Para más información, consulta Sobre el gráfico de dependencias.

Inventario de componentes de software (SBOM)

Puedes exportar el gráfico de dependencias de tu repositorio como un Software Bill of Materials (SBOM) compatible con SPDX. Para más información, consulta Exportación de una lista de materiales de software para el repositorio.

GitHub Advisory Database

          GitHub Advisory Database contiene una lista seleccionada de vulnerabilidades de seguridad que puede ver, buscar y filtrar. Para más información, consulta [AUTOTITLE](/code-security/security-advisories/working-with-global-security-advisories-from-the-github-advisory-database/browsing-security-advisories-in-the-github-advisory-database).


          Dependabot alerts y actualizaciones de seguridad

Ver alertas sobre dependencias que se sabe que contienen vulnerabilidades de seguridad, y elige si se generarán automáticamente los pull requests para actualizar estas dependencias. Para más información, consulta Acerca de las alertas Dependabot y Sobre las actualizaciones de seguridad de Dependabot.

También puede usar la configuración predeterminada Evaluación de prioridades automática de Dependabot seleccionada por GitHub para filtrar automáticamente una cantidad sustancial de falsos positivos.

Para obtener información general sobre las diferentes características que ofrece Dependabot e instrucciones sobre cómo empezar, consulta Guía de inicio rápido de Dependabot.

Dependabot version updates

Use Dependabot para generar automáticamente solicitudes de incorporación de cambios para mantener las dependencias up-to-date. Esto te ayuda a reducir tu exposición a las versiones anteriores de las dependencias. El uso de versiones más recientes facilita la aplicación de revisiones si se detectan vulnerabilidades de seguridad y también facilita para Dependabot security updates elevar pull requests con éxito para actualizar las dependencias vulnerables. También puede personalizar Dependabot version updates para simplificar su integración en los repositorios. Para más información, consulta Acerca de las actualizaciones a la versión del Dependabot.

Conjuntos de reglas de repositorio

Aplica estándares de código, seguridad y cumplimiento coherentes entre ramas y etiquetas. Para más información, consulta Acerca de los conjuntos de reglas.

Disponible con GitHub Advanced Security

Las características de GitHub Advanced Security están disponibles para empresas con licencia para GitHub Advanced Security. Las características se restringen a los repositorios que le pertenecen a una organización.

Escaneo de secretos

Detecta automáticamente tokens o credenciales que se haya registrado en un repositorio. Puede ver alertas sobre cualquier secreto que GitHub encuentre en su código, en la pestaña Security del repositorio, para saber qué tokens o credenciales considerar comprometidos. Para más información, consulta Acerca de las alertas de examen de secretos.

Protección contra el envío de cambios

La protección de push examina proactivamente tu código y el de los colaboradores del repositorio en busca de secretos durante el proceso de push y bloquea el push si se detectan secretos. Si un colaborador omite el bloque, GitHub crea una alerta. Para más información, consulta Acerca de la protección de inserción.

Omisión delegada para la protección de inserción

La exención delegada para la protección de push le permite controlar qué individuos, roles y equipos:

  • Puede omitir la protección contra inserciones forzadas
  • Puede revisar las solicitudes de omisión de otros colaboradores.

Para más información, consulta Acerca de la omisión delegada para la protección de inserción.

Patrones personalizados

Puede definir patrones personalizados para identificar los secretos que no se detectan con los patrones predeterminados admitidos por secret scanning, como los patrones que son internos de la organización. Para más información, consulta Definición de patrones personalizados para el examen de secretos.

Code scanning

Detecta automáticamente las vulnerabilidades de seguridad y los errores de código en el código nuevo o modificado. Se resaltan los problemas potenciales, con información detallada, lo cual te permite arreglar el código antes de que se fusione en tu rama predeterminada. Para más información, consulta Acerca del examen de código.

CodeQL CLI

Ejecute CodeQL procesos localmente en proyectos de software o para generar code scanning resultados para cargar en GitHub. Para más información, consulta Acerca de la CLI de CodeQL.

          Reglas de evaluación de prioridades automática personalizadas para Dependabot

Ayuda a administrar Dependabot alerts a escala. reglas de evaluación de prioridades automática personalizadas proporcionan control sobre qué alertas se omiten, se posponen o desencadenan una actualización de seguridad de Dependabot. Para más información, consulta Acerca de las alertas Dependabot y Personalización de reglas de evaluación de prioridades automática para priorizar las alertas de Dependabot.

Revisión de dependencias

Muestra el impacto total de los cambios a las dependencias y ve los detalles de cualquier versión vulnerable antes de que fusiones una solicitud de cambios. Para más información, consulta Acerca de la revisión de dependencias.

Introducción a la seguridad

La información general sobre seguridad te permite revisar el panorama general de seguridad de tu organización, ver tendencias y otras perspectivas, y administrar las configuraciones de seguridad, lo que facilita la supervisión del estado de seguridad de tu organización y la identificación de los repositorios y organizaciones de mayor riesgo. Para más información, consulta Información general sobre seguridad.

Información adicional

  •         [AUTOTITLE](/get-started/learning-about-github/githubs-plans)

  •         [AUTOTITLE](/get-started/learning-about-github/about-github-advanced-security)

  •         [AUTOTITLE](/get-started/learning-about-github/github-language-support)