Acerca de GitHub Advanced Securitylos productos
GitHub tiene muchas características que le ayudan a mejorar y mantener la calidad del código. Algunos de estos se incluyen en todos los planes, como el gráfico de dependencias y Dependabot alerts.
Otras características de seguridad requieren que compre uno de los productos de GitHubAdvanced Security.
-
GitHub Secret Protection, que incluye características que te ayudan a detectar y evitar fugas de secretos, como secret scanning y protección de inserción.
-
GitHub Code Security, que incluye características que te ayudan a encontrar y corregir vulnerabilidades, como code scanning, características premium de Dependabot y revisión de dependencias.
Algunas de estas características, como code scanning y secret scanning, están habilitadas para repositorios públicos de forma predeterminada. Para ejecutar la característica en los repositorios privados o internos, debe comprar el producto correspondiente GitHub Advanced Security .
Debe estar en un plan GitHub Team o GitHub Enterprise para poder comprar GitHub Code Security o GitHub Secret Protection. Para más información, consulta planes de GitHub y GitHub Advanced Security facturación de licencias.
GitHub Code Security
Obtendrá las siguientes características con GitHub Code Security:
-
**Code scanning **: busque posibles vulnerabilidades de seguridad y errores de codificación en el código mediante CodeQL o una herramienta de terceros.
-
**CodeQL CLI **: Ejecute CodeQL procesos localmente en proyectos de software o para generar code scanning resultados para la subida a GitHub.
-
**Autofijo de Copilot **: Obtiene correcciones generadas automáticamente para code scanning alertas.
-
Campañas de seguridad: reducir la deuda de seguridad a escala.
-
** Reglas de evaluación de prioridades automática personalizadas para Dependabot**: administre sus Dependabot alerts a escala mediante la automatización de las alertas que desea omitir, posponer o para las que desea desencadenar una actualización de seguridad de Dependabot. -
Revisión de dependencias: muestra el impacto total de los cambios en las dependencias y permite ver los detalles de las versiones vulnerables antes de combinar una solicitud de incorporación de cambios.
-
Información general sobre seguridad: permite conocer la distribución de riesgos en toda la organización.
En la tabla siguiente se resume la disponibilidad de las características en los repositorios públicos y privados de GitHub Code Security.
| Repositorio público sin GitHub Code Security | Repositorio privado sin GitHub Code Security | Repositorio público o privado con GitHub Code Security | |
|---|---|---|---|
| Code scanning | |||
| CodeQL CLI | |||
| Autofijo de Copilot | |||
| Campañas de seguridad | |||
| Reglas de evaluación de prioridades automática personalizadas | |||
| Revisión de dependencias | |||
| Introducción a la seguridad |
Para obtener más información sobre las características, consulta Características de seguridad de GitHub.
GitHub Secret Protection
Obtendrá las siguientes características con GitHub Secret Protection:
- **Secret scanning **: Detectar secretos, por ejemplo, claves y tokens, que se han registrado en un repositorio y recibir alertas.
- Protección contra inserciones: evite fugas de secretos antes de que se produzcan bloqueando commits que contienen secretos.
- **detección de secretos de Copilot **: utilice la inteligencia artificial para detectar credenciales no estructuradas, como contraseñas, que se han incorporado en un repositorio.
- Patrones personalizados: detecte y evite fugas para secretos específicos de la organización.
- Omisión delegada para la protección de empuje y desestimación de alertas delegadas: implementar un proceso de aprobación para un mejor control sobre quién de su empresa puede realizar acciones confidenciales, lo que admite la gobernanza a escala.
- Campañas de seguridad: corrija los secretos expuestos a gran escala mediante la creación de una campaña y la colaboración para corregirlos.
- Información general sobre seguridad: comprende la distribución de riesgos en toda la organización.
En la tabla siguiente se resume la disponibilidad de las características en los repositorios públicos y privados de GitHub Secret Protection.
| Repositorio público sin GitHub Secret Protection | Repositorio privado sin GitHub Secret Protection | Repositorio público o privado con GitHub Secret Protection | |
|---|---|---|---|
| Análisis de secretos | |||
| Protección contra el envío de cambios | |||
| Digitalización secreta de Copilot | |||
| Patrones personalizados | |||
| Omisión delegada para la protección de inserción | |||
| Campañas de seguridad | |||
| Introducción a la seguridad |
Para obtener más información sobre las características individuales, consulte Características de seguridad de GitHub.
Ejecución de una evaluación gratuita de riesgos de seguridad
<a href="https://github.com/get_started?with=risk-assessment&ref_product=code-scanning&ref_type=engagement&ref_style=button" target="_blank" class="btn btn-primary mt-3 mr-3 no-underline">
<span>Introducción a las evaluaciones de riesgos de seguridad</span><svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-link-external" aria-label="link external icon" role="img"><path d="M3.75 2h3.5a.75.75 0 0 1 0 1.5h-3.5a.25.25 0 0 0-.25.25v8.5c0 .138.112.25.25.25h8.5a.25.25 0 0 0 .25-.25v-3.5a.75.75 0 0 1 1.5 0v3.5A1.75 1.75 0 0 1 12.25 14h-8.5A1.75 1.75 0 0 1 2 12.25v-8.5C2 2.784 2.784 2 3.75 2Zm6.854-1h4.146a.25.25 0 0 1 .25.25v4.146a.25.25 0 0 1-.427.177L13.03 4.03 9.28 7.78a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042l3.75-3.75-1.543-1.543A.25.25 0 0 1 10.604 1Z"></path></svg></a>
Las organizaciones en GitHub Team y GitHub Enterprise pueden ejecutar evaluaciones gratuitas de riesgos de seguridad para comprender su exposición a vulnerabilidades de seguridad:
-
**Filtraciones de secretos**: analice su organización para saber si se han filtrado secretos y vea cuántos podrían haber sido evitados por GitHub Secret Protection. Consulta [AUTOTITLE](/code-security/concepts/secret-security/about-secret-security-with-github#secret-risk-assessment). -
Vulnerabilidades de código: examine hasta 20 de los repositorios más activos y vea cuántas vulnerabilidades se podrían corregir automáticamente si Autofijo de Copilot habilita GitHub Code Security. Consulta Evaluación del riesgo de seguridad del código.
Implementación de GitHub Code Security y GitHub Secret Protection
Para obtener información sobre lo que necesita saber para planear la implementación de GitHub Code Security yGitHub Secret Protectionen un nivel alto y para revisar las fases de lanzamiento que se recomiendan, consulte Adopción de GitHub Advanced Security a escala.
Habilitación de características
Puede habilitar rápidamente las funciones de seguridad a gran escala mediante security configuration, un conjunto de configuraciones de habilitación de seguridad que puede aplicar a los repositorios de una organización. Puede personalizar las funciones de Advanced Security a nivel organizacional con global settings. Consulta Habilitación de características de seguridad a gran escala.
Si está en un plan GitHub Team o GitHub Enterprise, el uso de licencia para todo el equipo o empresa se muestra en su página de licencia. Consulte Visualización del uso de productos medidos y licencias.
Administración GitHub Advanced Security
Los propietarios de empresas pueden administrar licencias de GitHub Advanced Security y el acceso para su empresa, incluida la deshabilitación de GitHub Advanced Security en todos los repositorios e impedir la nueva habilitación en el futuro. Consulta Administración de licencias por volumen para GitHub Advanced Security.
Para obtener información sobre cómo administrar la GitHub Advanced Security licencia, consulte Administración del uso de pago de Advanced Security.
Acerca de GitHub Advanced Security la certificación
Para resaltar tus conocimientos, obtén un GitHub Advanced Security certificado con GitHub Certifications. La certificación valida su experiencia en la identificación de vulnerabilidades, la seguridad del flujo de trabajo y una implementación de seguridad sólida. Consulta Acerca de GitHub Certifications.
Sobre GitHub Advanced Security utilizando Azure Repos
Si quieres usar GitHub Advanced Security con Azure Repos, consulta GitHub Advanced Security y Azure DevOps en nuestro sitio de recursos. Para obtener documentación, consulte Configure GitHub Advanced Security for Azure DevOps en Microsoft Learn.