Acerca de las características de seguridad de GitHub
GitHubLas características de seguridad ayudan a proteger el código y los secretos en repositorios y en todas las organizaciones.
- Algunas características están disponibles para todos los GitHub planes.
- Hay características adicionales disponibles para organizaciones en GitHub Team y GitHub Enterprise Cloud que compran un GitHub Advanced Security producto:
- Además, se pueden ejecutar varias características GitHub Secret Protection y GitHub Code Security en repositorios públicos de forma gratuita.
Disponible para todos los GitHub planes
Las siguientes características de seguridad están disponibles para usted, independientemente del plan en que esté el GitHub. No es necesario comprar GitHub Secret Protection or GitHub Code Security para usar estas características.
La mayoría de estas características están disponibles para repositorios públicos internos y privados. Algunas características solo están disponibles para repositorios públicos.
Directiva de seguridad
Facilítale a tus usuarios el poder reportar de forma confidencial las vulnerabilidades de seguridad que hayan encontrado en tu repositorio. Para más información, consulta Agregar una política de seguridad a tu repositorio.
Gráfico de dependencias
La gráfica de dependencias te permite explorar los ecosistemas y paquetes de los cuales depende tu repositorio y los repositorios y paquetes que dependen de tu repositorio.
Puede encontrar el gráfico de dependencias en la pestaña Conclusiones del repositorio. Para más información, consulta Sobre el gráfico de dependencias.
Inventario de componentes de software (SBOM)
Puedes exportar el gráfico de dependencias de tu repositorio como un Software Bill of Materials (SBOM) compatible con SPDX. Para más información, consulta Exportación de una lista de materiales de software para el repositorio.
GitHub Advisory Database
GitHub Advisory Database contiene una lista seleccionada de vulnerabilidades de seguridad que puede ver, buscar y filtrar. Para más información, consulta [AUTOTITLE](/code-security/security-advisories/working-with-global-security-advisories-from-the-github-advisory-database/browsing-security-advisories-in-the-github-advisory-database).
Dependabot alerts y actualizaciones de seguridad
Ver alertas sobre dependencias que se sabe que contienen vulnerabilidades de seguridad, y elige si se generarán automáticamente los pull requests para actualizar estas dependencias. Para más información, consulta Acerca de las alertas Dependabot y Sobre las actualizaciones de seguridad de Dependabot.
También puede usar la configuración predeterminada Evaluación de prioridades automática de Dependabot seleccionada por GitHub para filtrar automáticamente una cantidad sustancial de falsos positivos.
Para obtener información general sobre las diferentes características que ofrece Dependabot e instrucciones sobre cómo empezar, consulta Guía de inicio rápido de Dependabot.
Dependabot malware alerts
En GitHub.com y GitHub Enterprise Server 3.22 y versiones posteriores, puede ver alertas de dependencias maliciosas en su repositorio. Consulte Alertas de malware de Dependabot.
Dependabot version updates
Use Dependabot para generar automáticamente solicitudes de incorporación de cambios para mantener las dependencias up-to-date. Esto te ayuda a reducir tu exposición a las versiones anteriores de las dependencias. El uso de versiones más recientes facilita la aplicación de revisiones si se detectan vulnerabilidades de seguridad y también facilita para Dependabot security updates elevar pull requests con éxito para actualizar las dependencias vulnerables. También puede personalizar Dependabot version updates para simplificar su integración en los repositorios. Para más información, consulta Acerca de las actualizaciones a la versión del Dependabot.
Avisos de seguridad
Debate en privado y arregla las vulnerabilidades de seguridad en el código de tu repositorio público. Entonces podrás publicar una asesoría de seguridad para alertar a tu comunidad sobre la vulnerabilidad y exhortar a sus miembros a hacer la actualización correspondiente. Para más información, consulta Acerca de las asesorías de seguridad de repositorio.
Conjuntos de reglas de repositorio
Aplica estándares de código, seguridad y cumplimiento coherentes entre ramas y etiquetas. Para más información, consulta Acerca de los conjuntos de reglas.
Atestaciones de artefactos
Crea garantías de integridad y procedencia infalsificables para el software que compiles. Para más información, consulta Uso de atestaciones de artefactos para establecer la procedencia de las compilaciones.
Nota:
Si está en un plan GitHub Free, GitHub Pro o GitHub Team, las atestaciones de artefactos solo están disponibles para los repositorios públicos. Para usar atestaciones de artefactos en repositorios privados o internos, debe estar en un GitHub Enterprise Cloud plan.
Alertas de escaneo de secretos para socios
Cuando GitHub detecta un secreto filtrado en un repositorio público o un paquete de npm público, GitHub informa al proveedor de servicios pertinente que el secreto puede estar en peligro. Para obtener más información sobre los secretos y proveedores de servicios admitidos, consulta Patrones de análisis de secretos admitidos.
Protección de notificaciones push para usuarios
La protección de inserción para los usuarios le protege automáticamente de la confirmación accidental de secretos en repositorios públicos, independientemente de si el propio repositorio está secret scanning habilitado. La protección de notificaciones para usuarios está activada de manera predeterminada, pero puedes deshabilitar la función en cualquier momento a través de los ajustes de tu cuenta personal. Para más información, consulta Gestión de la protección de notificaciones para los usuarios.
Disponible con GitHub Secret Protection
En el caso de las cuentas en GitHub Team y GitHub Enterprise Cloud, puede acceder a características de seguridad adicionales al comprar GitHub Secret Protection.
GitHub Secret Protection incluye características que le ayudan a detectar y evitar fugas de secretos, como secret scanning y la protección de inserción.
Estas características están disponibles para todos los tipos de repositorio. Algunas de estas características están disponibles para repositorios públicos de forma gratuita, lo que significa que no es necesario comprar GitHub Secret Protection para habilitar la característica en un repositorio público.
Alertas de escaneo de secretos para usuarios
Detecta automáticamente tokens o credenciales que se haya registrado en un repositorio. Puede ver alertas sobre cualquier secreto que GitHub encuentre en su código, en la pestaña Security and quality del repositorio, para saber qué tokens o credenciales considerar comprometidos. Para más información, consulta Acerca de las alertas de examen de secretos.
Disponible para repositorios públicos de forma predeterminada.
Escaneo secreto de Copilot
Escaneo secreto de CopilotLa detección genérica de secretos es una expansión con tecnología de IA de secret scanning que identifica secretos no estructurados (contraseñas) en el código fuente y, a continuación, genera una alerta. Para más información, consulta [AUTOTITLE](/code-security/secret-scanning/copilot-secret-scanning/responsible-ai-generic-secrets).
Protección contra el envío de cambios
La protección de push examina proactivamente tu código y el de los colaboradores del repositorio en busca de secretos durante el proceso de push y bloquea el push si se detectan secretos. Si un colaborador omite el bloque, GitHub crea una alerta. Para más información, consulta Acerca de la protección de inserción.
Disponible para repositorios públicos de forma predeterminada.
Omisión delegada para la protección de inserción
La exención delegada para la protección de push le permite controlar qué individuos, roles y equipos:
- Puede omitir la protección contra inserciones forzadas
- Están exentos de la protección contra empuje
- Puede revisar las solicitudes de omisión de otros colaboradores.
Para más información, consulta Acerca de la omisión delegada para la protección de inserción.
Patrones personalizados
Puede definir patrones personalizados para identificar los secretos que no se detectan con los patrones predeterminados admitidos por secret scanning, como los patrones que son internos de la organización. Para más información, consulta Definición de patrones personalizados para el examen de secretos.
Introducción a la seguridad
La información general sobre seguridad te permite revisar el panorama general de seguridad de tu organización, ver tendencias y otras perspectivas, y administrar las configuraciones de seguridad, lo que facilita la supervisión del estado de seguridad de tu organización y la identificación de los repositorios y organizaciones de mayor riesgo. Para más información, consulta Información general sobre seguridad.
Disponible con GitHub Code Security
En el caso de las cuentas en GitHub Team y GitHub Enterprise Cloud, puede acceder a características de seguridad adicionales al comprar GitHub Code Security.
GitHub Code Security incluye características que le ayudan a encontrar y corregir vulnerabilidades, como code scanning, características premium Dependabot y revisión de dependencias.
Estas características están disponibles para todos los tipos de repositorio. Algunas de estas características están disponibles para repositorios públicos de forma gratuita, lo que significa que no es necesario comprar GitHub Code Security para habilitar la característica en un repositorio público.
Code scanning
Detecta automáticamente las vulnerabilidades de seguridad y los errores de código en el código nuevo o modificado. Se resaltan los problemas potenciales, con información detallada, lo cual te permite arreglar el código antes de que se fusione en tu rama predeterminada. Para más información, consulta Acerca del examen de código.
Disponible para repositorios públicos de forma predeterminada.
CodeQL CLI
Ejecute CodeQL procesos localmente en proyectos de software o para generar code scanning resultados para cargar en GitHub. Para más información, consulta Acerca de la CLI de CodeQL.
Disponible para repositorios públicos de forma predeterminada.
Autofijo de Copilot
Obtenga correcciones generadas automáticamente para code scanning alertas. Para más información, consulta Uso responsable de Copilot Autofix para el análisis de código.
Disponible para repositorios públicos de forma predeterminada.
Reglas de evaluación de prioridades automática personalizadas para Dependabot
Ayuda a administrar Dependabot alerts a escala. reglas de evaluación de prioridades automática personalizadas proporcionan control sobre qué alertas se omiten, se posponen o desencadenan una actualización de seguridad de Dependabot. Para más información, consulta Acerca de las alertas Dependabot y Personalización de reglas de evaluación de prioridades automática para priorizar las alertas de Dependabot.
Revisión de dependencias
Muestra el impacto total de los cambios a las dependencias y ve los detalles de cualquier versión vulnerable antes de que fusiones una solicitud de cambios. Para más información, consulta Acerca de la revisión de dependencias.
Disponible para repositorios públicos de forma predeterminada.
Campañas de seguridad
Resuelve las alertas de seguridad a escala mediante la creación de campañas de seguridad y la colaboración con los desarrolladores para reducir el trabajo pendiente de seguridad. Para más información, consulta Acerca de las campañas de seguridad.
Introducción a la seguridad
La información general sobre seguridad te permite revisar el panorama general de seguridad de tu organización, ver tendencias y otras perspectivas, y administrar las configuraciones de seguridad, lo que facilita la supervisión del estado de seguridad de tu organización y la identificación de los repositorios y organizaciones de mayor riesgo. Para más información, consulta Información general sobre seguridad.
Información adicional
-
[AUTOTITLE](/get-started/learning-about-github/githubs-plans) -
[AUTOTITLE](/get-started/learning-about-github/about-github-advanced-security) -
[AUTOTITLE](/get-started/learning-about-github/github-language-support)
