Aplicación de directivas de seguridad y análisis de código de la empresa

Puedes aplicar directivas para administrar el uso de características de análisis y seguridad de código dentro de las organizaciones que pertenecen a tu empresa.

¿Quién puede utilizar esta característica?

Enterprise owners

GitHub Code Security y GitHub Secret Protection están disponibles para cuentas en GitHub Team y GitHub Enterprise Cloud.

Algunas características también están disponibles de forma gratuita para repositorios públicos en GitHub.com. Para más información, consulta planes de GitHub.

Para obtener información sobre GitHub Advanced Security for Azure DevOps, consulta Configuración de GitHub Advanced Security for Azure DevOps en Microsoft Learn.

En este artículo

Acerca de las directivas para usar características de seguridad en tu empresa

Puedes aplicar directivas para administrar el uso de características de seguridad dentro de las organizaciones que pertenecen a tu empresa. Puedes permitir o impedir que los usuarios con acceso de administrador a un repositorio habiliten o deshabiliten las características de seguridad y análisis.

Además, puede aplicar directivas para el uso de GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (versión preliminar pública), or GitHub Advanced Security en las organizaciones y repositorios de la empresa.

Aplicación de una directiva para la disponibilidad de Advanced Security en las organizaciones de la empresa

Se le facturan los productos de GitHub Secret Protection, GitHub Code Security, and GitHub Advanced Security por cada confirmación. Consulta GitHub Advanced Security facturación de licencias.

Puedes requerir una política que controle si se les permite a los administradores de repositorio habilitar características para Advanced Security en los repositorios de una organización. Puedes configurar una política para todas las organizaciones que le pertenezcan a tu cuenta empresarial o para las organizaciones individuales que elijas.

Deshabilitar GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (versión preliminar pública), or GitHub Advanced Security para una organización impide que los administradores de repositorios habiliten estas características para repositorios adicionales, pero no deshabilita estas características en los repositorios donde ya están habilitadas.

Nota:

Esta directiva solo afecta a los administradores de repositorios, en concreto. Los propietarios de la organización y los administradores de seguridad siempre pueden habilitar características de seguridad, independientemente de cómo establezcas esta directiva. Para más información, consulta Roles en una organización.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.

  2. En la parte superior de la página, haz clic en Policies.

  3. En "Directivas", haz clic en Advanced SecurityCode security.

  4. En la pestaña "Directivas" de la página "Advanced Security", selecciona el menú desplegable y, a continuación, haz clic en una directiva para las organizaciones que pertenecen a tu empresa.

  5. Opcionalmente, si eliges Permitir para las organizaciones seleccionadas, a la derecha de una organización, selecciona el menú desplegable para definir qué productos de Advanced Security están disponibles para la organización.

    Captura de pantalla del menú desplegable para elegir una directiva de Advanced Security para organizaciones seleccionadas en la empresa. La lista desplegable se resalta.

Nota:

Si GitHub Actions no está disponible para una organización, code scanning y GitHub Code Quality no podrán ejecutarse aunque estén disponibles con esta directiva. Consulta Aplicación de directivas para GitHub Actions en la empresa.

Requerir una política para la visibilidad de las perspectivas de dependencias

La información sobre dependencias muestra todos los proyectos de código abierto de los que dependen los repositorios dentro de las organizaciones de su empresa. Las perspectivas de dependencias incluyen información agregada sobre las licencias y asesorías de seguridad. Para más información, consulta Ver información sobre dependencias de su organización.

A lo largo de todas las organizaciones que pertenezcan a tu empresa, puedes controlar si los miembros de dichas organizaciones pueden ver las perspectivas de dependencias. También puedes permitir que los propietarios administren la configuración a nivel organizacional. Para más información, consulta Cambiar la visibilidad de la información sobre las dependencias de la organización.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.

  2. En la parte superior de la página, haz clic en Policies.

  3. En "Directivas", haz clic en Advanced SecurityCode security.

  4. En la sección "Directivas", en "Información de dependencia", revisa la información sobre cómo cambiar la configuración.

  5. De manera opcional, para ver la configuración actual en todas las organizaciones de la cuenta de empresa antes de cambiar el valor, haz clic en View your organizations' current configurations.

    Captura de pantalla de una directiva en la configuración de la empresa. Un vínculo con la etiqueta "Ver las configuraciones actuales de las organizaciones" está resaltado.

  6. En "Perspectivas de dependencia", selecciona el menú desplegable y haz clic en una directiva.

Aplicación de una directiva para administrar el uso de Dependabot alerts en la empresa

En todas las organizaciones que pertenecen a tu empresa, puedes permitir que los miembros con permisos de administrador en los repositorios habiliten o deshabiliten las Dependabot alerts y cambien la configuración de las Dependabot alerts.

Nota:

Esta directiva solo afecta a los administradores de repositorios, en concreto. Los propietarios de la organización y los administradores de seguridad siempre pueden habilitar características de seguridad, independientemente de cómo establezcas esta directiva. Para más información, consulta Roles en una organización.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haz clic en Policies.
  3. En "Directivas", haz clic en Advanced SecurityCode security.
  4. En la sección "Directivas", en "Habilitar o deshabilitar Dependabot alerts por los administradores del repositorio", usa el menú desplegable para elegir una directiva.

Aplicación de una directiva para administrar el uso de las características de Advanced Security en los repositorios de la empresa

En todas las organizaciones de la empresa, puedes permitir o impedir que los usuarios con acceso de administrador a los repositorios administren el uso de características de Advanced Security en los repositorios.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.

  2. En la parte superior de la página, haz clic en Policies.

  3. En "Directivas", haz clic en Advanced SecurityCode security.

  4. En la sección "Directivas", de "Los administradores del repositorio pueden habilitar o deshabilitar PRODUCT", use el menú desplegable para definir si los administradores del repositorio pueden cambiar la habilitación de GitHub Secret Protection, GitHub Code Security and GitHub Code Quality (versión preliminar pública), or GitHub Advanced Security.

Aplicación de una directiva para administrar el uso de la detección de IA para secret scanning en los repositorios de la empresa

En todas las organizaciones de la empresa, puede permitir o impedir que los usuarios con acceso de administrador a los repositorios administren y configuren la detección mediante IA en el secret scanning para los repositorios. Esta directiva solo surte efecto si los administradores del repositorio también pueden cambiar la habilitación de Secret Protection (controlados por la directiva "Los administradores del repositorio pueden habilitar o deshabilitar la protección de secretos").

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haz clic en Policies.
  3. En "Directivas", haz clic en Advanced SecurityCode security.
  4. En la sección "Directivas", en "Detección de IA en secret scanning", selecciona el menú desplegable y haz clic en una directiva.

Aplicación de una directiva para administrar el uso de Autofijo de Copilot en los repositorios de la empresa

En todas las organizaciones de la empresa, puede permitir o no permitir que los usuarios con acceso de administrador a los repositorios administren dónde Autofijo de Copilot está habilitado para Code Security resultados. Se debe habilitar GitHub Code Security para la organización a fin de que esta directiva surta efecto.

  1. Vaya a su empresa. Por ejemplo, desde la página Empresas en GitHub.com.
  2. En la parte superior de la página, haz clic en Policies.
  3. En "Directivas", haz clic en Advanced SecurityCode security.
  4. En la sección "Directivas", en "Autofijo de Copilot", seleccione el menú desplegable y haga clic en una directiva.

Nota:

Esta directiva controla el uso de Autofijo de Copilot únicamente en los resultados encontrados por las consultas de seguridad de code scanning. Autofijo de Copilot es una parte integral de GitHub Code Quality y no se puede deshabilitar para esa característica.