Administración del acceso a GitHub Advanced Security

  • 5 minutos

En la unidad anterior, ha aprendido a habilitar GitHub Advanced Security según su plan empresarial.

En esta unidad se explica cómo configurar GitHub Advanced Security para un proyecto. Se explica cómo administrar el acceso a las alertas de seguridad y configurar directivas de seguridad en el nivel de organización y repositorio.

Administración del acceso a las alertas de seguridad

Al configurar GitHub Advanced Security para un proyecto, quiere asegurarse de que las personas adecuadas de su organización pueden ver y resolver las alertas. Los roles y permisos necesarios para ver estas alertas dependen del tipo de alerta.

En esta tabla se muestran los roles y permisos mínimos necesarios para ver cada tipo de alerta en la pestaña Seguridad del repositorio:

Tipo de alerta de seguridad Roles y permisos necesarios
Alertas de examen de código Permiso de escritura en el repositorio
Alertas de examen de secretos Administradores de repositorios y propietarios de la organización
Alertas de Dependabot Administradores de repositorios y propietarios de la organización

Además, los administradores del repositorio y los propietarios de la organización pueden proporcionar acceso para examen de secretos y alertas de Dependabot a usuarios y equipos con permiso de escritura en sus repositorios desde la configuración Seguridad y análisis del repositorio.

Con el conjunto correcto de roles y permisos, los desarrolladores implicados en el flujo de trabajo de seguridad pueden realizar las siguientes acciones:

  • En el caso de las alertas de análisis de código: confirma las correcciones en el código, descarta las alertas que no requieren ninguna acción o elimina alertas para limpiar los resultados del examen de código.
  • Para las alertas de análisis de secretos: elimine secretos detectados, cree nuevos tokens y actualice el código que usa los secretos detectados o descarte las alertas que no requieren ninguna acción.
  • En el caso de las alertas de Dependabot: actualice las dependencias vulnerables o descarte las alertas que no requieren ninguna acción.

Establecimiento de una directiva de seguridad en el nivel de organización

Una buena manera de asegurarse de que todos los usuarios de su organización usan GitHub Advanced Security es configurar una directiva de seguridad en el nivel de organización. Por ejemplo, puede establecer una directiva que permita a todos los administradores de repositorios de su organización habilitar las características de Advanced Security para sus repositorios.

Las directivas se pueden configurar para todas las organizaciones que pertenecen a su cuenta empresarial o para organizaciones individuales que elija.

Siga estos pasos para configurar una directiva de seguridad en el nivel de organización:

  1. En la barra lateral de la empresa, vaya a Directivas > Seguridad Avanzada.

  2. En Seguridad avanzada de GitHub, seleccione el menú desplegable y seleccione una directiva para las organizaciones que pertenecen a su empresa.

    Captura de pantalla de la lista desplegable de directivas de seguridad.

  3. Opcionalmente, si elige Permitir para organizaciones seleccionadas a la derecha de una organización, seleccione el menú desplegable para permitir o denegar Seguridad Avanzada para la organización. No permitir Advanced Security para una organización impide que los administradores de repositorios habiliten las características de Advanced Security para otros repositorios, pero no deshabilita las características de los repositorios en los que las características ya están habilitadas.

    Captura de pantalla de la lista desplegable de la directiva de seguridad de una organización individual.

Nota:

Tenga en cuenta que GitHub factura la seguridad avanzada por cada confirmación al configurar una directiva en el nivel de organización.

Establecimiento de una directiva de seguridad en el nivel de repositorio

Igualmente importante al configurar un proyecto de GitHub es documentar cómo notificar vulnerabilidades de seguridad para el proyecto. Para ello, puede agregar un SECURITY.md archivo a las carpetas raíz, docs, o .github del repositorio del proyecto. A continuación, cuando alguien crea un problema en un repositorio, verá un vínculo a la directiva de seguridad del proyecto.

Después de que alguien notifique una vulnerabilidad de seguridad en el proyecto, puede usar avisos de seguridad de GitHub para revelar, corregir y publicar información sobre la vulnerabilidad.

Siga estos pasos para configurar una directiva de seguridad en el nivel de repositorio:

  1. En el repositorio, vaya a Seguridad > Directiva de seguridad.
  2. Seleccione Iniciar configuración.
  3. En el nuevo archivo SECURITY.md, agregue información sobre las versiones admitidas del proyecto y cómo notificar una vulnerabilidad.
  4. Confirme el cambio en el repositorio.