Acerca de las características de seguridad de GitHub
Las características de seguridad de GitHub ayudan a proteger el código y los secretos en repositorios y entre organizaciones.
- Algunas características están disponibles para todos los planes de GitHub.
- Hay características adicionales disponibles para las organizaciones y empresas en GitHub Team y GitHub Enterprise Cloud que compran un producto de GitHub Advanced Security:
- Además, se pueden ejecutar varias características de GitHub Secret Protection y GitHub Code Security en repositorios públicos de forma gratuita.
Disponible para todos los planes de GitHub
Las siguientes características de seguridad están disponibles para su uso, independientemente del plan de GitHub en el que estés. No es necesario comprar GitHub Secret Protection or GitHub Code Security para usar estas características.
La mayoría de estas características están disponibles para repositorios públicos, internos, y privados. Algunas características solo están disponibles para repositorios públicos.
Directiva de seguridad
Facilítale a tus usuarios el poder reportar de forma confidencial las vulnerabilidades de seguridad que hayan encontrado en tu repositorio. Para más información, consulta Agregar una política de seguridad a tu repositorio.
Gráfico de dependencias
La gráfica de dependencias te permite explorar los ecosistemas y paquetes de los cuales depende tu repositorio y los repositorios y paquetes que dependen de tu repositorio.
Puede encontrar el gráfico de dependencias en la pestaña Conclusiones del repositorio. Para más información, consulta Acerca del gráfico de dependencias.
Lista de materiales de software (SBOM)
Puedes exportar el gráfico de dependencias del repositorio como una lista de materiales (SBOM) compatible con SPDX. Para más información, consulta Exportación de una lista de materiales de software para el repositorio.
GitHub Advisory Database
La GitHub Advisory Database contiene una lista organizada de vulnerabilidades de seguridad que puedes ver, buscar y filtrar. Para más información, consulta Exploración de los avisos de seguridad en GitHub Advisory Database.
Dependabot alerts y actualizaciones de seguridad
Ver alertas acerca de las dependencias de las cuales se sabe contienen vulnerabilidades de seguridad y elige si se generarán automáticamente las solicitudes de extracción para actualizar dichas dependencias. Para más información, consulta Acerca de las alertas Dependabot y Sobre las actualizaciones de seguridad de Dependabot.
Puedes usar las Evaluación de prioridades automática de Dependabot predeterminadas mantenidas por GitHub para filtrar automáticamente una cantidad sustancial de falsos positivos.
Para obtener información general sobre las diferentes características que ofrece Dependabot e instrucciones sobre cómo empezar, consulta Guía de inicio rápido de Dependabot.
Dependabot version updates
Utilizan al Dependabot para levantar las solicitudes de cambios automáticamente para mantener tus dependencias actualizadas. Esto te ayuda a reducir tu exposición a las versiones anteriores de las dependencias. El utilizar versiones más nuevas facilita aún más la aplicación de parches si se descubren las vulnerabilidades de seguridad, y también facilita que las Dependabot security updates levante las solicitudes de cambios exitosamente para mejorar las dependencias vulnerables. También puedes personalizar Dependabot version updates para simplificar su integración en los repositorios. Para más información, consulta Acerca de las actualizaciones a la versión del Dependabot.
Avisos de seguridad
Debate en privado y arregla las vulnerabilidades de seguridad en el código de tu repositorio público. Entonces podrás publicar una asesoría de seguridad para alertar a tu comunidad sobre la vulnerabilidad y exhortar a sus miembros a hacer la actualización correspondiente. Para más información, consulta Acerca de las asesorías de seguridad de repositorio.
Conjuntos de reglas de repositorio
Aplica estándares de código, seguridad y cumplimiento coherentes entre ramas y etiquetas. Para más información, consulta Acerca de los conjuntos de reglas.
Atestaciones de artefactos
Crea garantías de integridad y procedencia infalsificables para el software que compiles. Para más información, consulta Uso de atestaciones de artefactos para establecer la procedencia de las compilaciones.
Alertas de examen de secretos para asociados
Cuando GitHub detecta un secreto filtrado en un repositorio público o paquetes npm públicos, GitHub informa al proveedor de servicios pertinente que el secreto puede estar en peligro. Para obtener más información sobre los secretos y proveedores de servicios admitidos, consulta Patrones de examen de secretos admitidos.
Protección de inserción para usuarios
La protección de inserción para usuarios te protege automáticamente de la confirmación accidental de secretos en repositorios públicos, independientemente de si el propio repositorio tienes habilitado secret scanning. La protección de inserción para usuarios está activada de manera predeterminada, pero puedes deshabilitar la función en cualquier momento a través de las configuraciones de tu cuenta personal. Para más información, consulta Protección de inserción para usuarios.
Disponible con GitHub Secret Protection
Para las cuentas de GitHub Team y GitHub Enterprise Cloud, puedes acceder a características de seguridad adicionales al comprar GitHub Secret Protection.
GitHub Secret Protection incluye características que te ayudan a detectar y evitar fugas de secretos, como secret scanning y protección de inserción.
Estas características están disponibles para todos los tipos de repositorio.
Alertas de examen de secretos para usuarios
Detecta automáticamente tokens o credenciales que se haya registrado en un repositorio. Puedes ver las alertas de cualquier secreto que GitHub encuentre en tu código en la pestaña Seguridad del repositorio, para saber qué tokens o credenciales se deben considerar en riesgo. Para más información, consulta Acerca de las alertas de examen de secretos.
Disponible para repositorios públicos de forma predeterminada.
Digitalización secreta de Copilot
La detección de secretos genérica de GitHub es una expansión con tecnología de IA de secret scanning que identifica secretos no estructurados (contraseñas) en el código fuente y genera una alerta. Para más información, consulta Detección responsable de secretos genéricos con el análisis de secretos de Copilot.
Protección contra el envío de cambios
La protección de inserción examina de forma proactiva el código y el código de los colaboradores del repositorio para los secretos durante el proceso de inserción y bloquea la inserción si se detectan secretos. Si un colaborador se salta el bloqueo, GitHub crea una alerta. Para más información, consulta Acerca de la protección de inserción.
Disponible para repositorios públicos de forma predeterminada.
Omisión delegada para la protección de inserción
La omisión delegada para la protección de inserción te permite controlar qué usuarios, roles y equipos pueden omitir la protección de inserción e implementa un ciclo de revisión y aprobación para las inserciones que contienen secretos. Para más información, consulta Acerca de la omisión delegada para la protección de inserción.
Patrones personalizados
Puedes definir patrones personalizados para identificar secretos que no detecten los patrones predeterminados que son compatibles con el secret scanning, como patrones internos para tu organización.. Para más información, consulta Definición de patrones personalizados para el examen de secretos.
Introducción a la seguridad
La información general sobre seguridad te permite revisar el panorama general de seguridad de tu organización, ver tendencias y otras perspectivas, y administrar las configuraciones de seguridad, lo que facilita la supervisión del estado de seguridad de tu organización y la identificación de los repositorios y organizaciones de mayor riesgo. Para más información, consulta Información general sobre seguridad.
Disponible con GitHub Code Security
Para las cuentas de GitHub Team y GitHub Enterprise Cloud, puedes acceder a características de seguridad adicionales al comprar GitHub Code Security.
GitHub Code Security incluye características que te ayudan a encontrar y corregir vulnerabilidades, como code scanning, características premium de Dependabot y revisión de dependencias.
Estas características están disponibles para todos los tipos de repositorio.
Code scanning
Detecta automáticamente las vulnerabilidades de seguridad y los errores de código en el código nuevo o modificado. Se resaltan los problemas potenciales, con información detallada, lo cual te permite arreglar el código antes de que se fusione en tu rama predeterminada. Para más información, consulta Acerca del examen de código.
Disponible para repositorios públicos de forma predeterminada.
CodeQL CLI
Ejecutar procesos de CodeQL localmente en proyectos de software o generar resultados code scanning para cargar en GitHub. Para más información, consulta Acerca de la CLI de CodeQL.
Disponible para repositorios públicos de forma predeterminada.
Copilot Autofix
Obtén correcciones generadas automáticamente para las alertas de code scanning. Para más información, consulta Uso responsable de Copilot Autofix para el análisis de código.
Disponible para repositorios públicos de forma predeterminada.
Reglas de evaluación de prioridades automática personalizadas para Dependabot
Ayuda a administrar Dependabot alerts a escala. reglas de evaluación de prioridades automática personalizadas proporcionan control sobre qué alertas se omiten, se posponen o desencadenan una actualización de seguridad de Dependabot. Para más información, consulta Acerca de las alertas Dependabot y Personalización de reglas de evaluación de prioridades automática para priorizar las alertas de Dependabot.
Revisión de dependencias
Muestra el impacto total de los cambios a las dependencias y ve los detalles de cualquier versión vulnerable antes de que fusiones una solicitud de cambios. Para más información, consulta Acerca de la revisión de dependencias.
Disponible para repositorios públicos de forma predeterminada.
Campañas de seguridad
Resuelve las alertas de seguridad a escala mediante la creación de campañas de seguridad y la colaboración con los desarrolladores para reducir el trabajo pendiente de seguridad. Para más información, consulta Acerca de las campañas de seguridad.
Introducción a la seguridad
La información general sobre seguridad te permite revisar el panorama general de seguridad de tu organización, ver tendencias y otras perspectivas, y administrar las configuraciones de seguridad, lo que facilita la supervisión del estado de seguridad de tu organización y la identificación de los repositorios y organizaciones de mayor riesgo. Para más información, consulta Información general sobre seguridad.
Aprovechamiento de GitHub Copilot Chat para comprender las alertas de seguridad
Con una licencia de GitHub Copilot Enterprise, también puedes pedir ayuda a GitHub Copilot Chat para comprender mejor las alertas de seguridad en los repositorios de tu organización de características de GitHub Advanced Security (code scanning, secret scanning y Dependabot alerts). Para más información, consulta Preguntas a GitHub Copilot en GitHub.